Güney Koreli internet kullanıcıları, Kimuky olarak bilinen Kuzey Kore tehdit oyuncusuna atfedilen sofistike bir kimlik avı kampanyası tarafından hedefleniyor.
Ulusal Vergi Servisi’nden (NTS) resmi bildirimler olarak görünen kötü niyetli e -postalar, alıcılara “Eylül vergi beyannamesi bildirimi” hakkında bilgi veriyor ve elektronik bir belgeyi görüntülemek için bir bağlantıyı tıklamaya çağırıyor.
Güvenlik analistleri, saldırganların e -postalara güvenilirlik sağlamak için kişiselleştirilmiş bilgiler kullandığını ve Naver hesap sahipleri için ciddi bir risk oluşturduğunu belirtiyor.
Kimlik avı e -postasının konu satırı açıkça NTS ve bir ödeme son tarihine atıfta bulunur: “Eylül vergi beyannamesi ödenmesi (Doğrulama Son Tarih: 31 Ağustos 2025, 23:59).” Vücut metni şöyle diyor: “Yeni bir elektronik belge geldi.
Lütfen şimdi kontrol edin. ” E -posta NTS’den kaynaklandığını iddia ederken, gerçek gönderme altyapısı Mail (.RU) ağında bulunur, bu da Güney Kore’nin dışındaki tehlikeye atılmış veya kiralanmış bir sunucu kaynağını gösterir.
- Return-Path ve Zarf-From alanları Schimmel2025@Liste olarak ayarlanmıştır[.]Ru.
- Gönderen Sunucu Ana Bilgisayar Adları Send174 (.) J.Mail (.) Ru → 95[.]163[.]59[.]13, meşru NTS posta sunucularından farklı.
- SPF kontrolleri RU etki alanı için geçiş, DKIM imzaları Mail4 seçicisini kullanarak doğrulama ve DMARC ilkesi p = reddetme onurlandırılır, postanın ağ katmanında sahte olmak yerine posta (.ru) altyapısı yoluyla iletildiğini gösterir.
- ARC başlıkları, ilk ark adımında anomalisi olmayan kimliği doğrulanmış bir zincirden geçen mesajı gösterir.
Zaman dilimi tutarsızlıkları da kampanyanın kökenini ortaya koyuyor. Naver, e -postayı 25 Ağustos 2025’te 16:00:44 UTC’de alırken, gönderenin sunucusu 19:00:40 +03: 00’da günlüğe kaydedildi.
Kore zamanında (UTC+9), posta başlığı zaman damgası 26 Ağustos 2025, 01:00:36, Seul yerine Moskova saat dilimi ile hizalanıyor. Bu detaylar, e -postanın uluslararası altyapı üzerinden geçişini doğrular ve gayri meşru olarak işaretler.
Kimlik avı bağlantısı analizi
Etki alanı sunucusu[.]Net’in NTS ile ilişkisi yoktur. URL’nin sorgu dizesinin bir analizi, kısmen kod çözüldüğünde, “anire (.) PBZ-ROT13-? NID (.) Naver (.) Com ”’u, alıcının gerçek e-posta adresini gömmek için birleştiren Yüzde-kodlanmış bir parametre (M = değer) gösterir.
Bu kişiselleştirilmiş jeton, geniş spam patlamaları yerine hedeflenen kimlik avı gösterir.
Aşağıdaki tablo, uzlaşmanın (IOCS) temel göstergelerini özetlemektedir:
| Gösterge Türü | Değer |
|---|---|
| Gönderen e -posta adresi | Schimmel2025@Liste[.]ru |
| Gönderen ip | 95[.]163[.]59[.]13 |
| Gönderen Posta Sunucusu Ana Bilgisayar Adları | Send174 (.) J.Mail (.) Ru → 95[.]163[.]59[.]13 |
| Kimlik avı alanı | N-info[.]Bill-NTS[.]sunucu[.]açık |
| Sorgu parametre kodlaması | Yüzde kodlu + Base64/ROT13 karışımı |
| Gömülü alıcı tanımlayıcısı | ???@naver[.]com |
Bağlantıyı tıklayan kurbanlardan, daha sonra saldırganlar tarafından hasat edilen naver kimlik bilgileriyle giriş yapmaları istenir.
Sorgu dizesinin kişiselleştirilmiş doğası, otomatik savunmaların kimlik avı URL’sini kötü niyetli olarak tespit etmesini zorlaştırır ve dikkatli manuel doğrulamanın önemini vurgular.
Hafifletme
Kullanıcılar, güvenilir devlet kurumlarından gelmiş gibi görünse bile, istenmeyen e -postalardaki bağlantıları asla tıklamamalıdır.
Bunun yerine, doğrudan resmi Ulusal Vergi Servisi web sitesine veya resmi Naver Elektronik Belge Portalına gidin. Posta başlıklarındaki zarf alanlarını inceleyerek gönderenin e-posta adresini doğrulayın.
Hassas kullanıcı verilerini işleyen kuruluşlar, URL – s ve kutuları, URL’lerde nadir alan kalıplarını ve sofistike kodlamayı işaretlemek için URL – s ve kutulama savunmaları uygulamalı ve makine öğrenme tehdit algılamasını dağıtmalıdır.
Bireyler ve işletmeler, “Eylül vergi beyannamesi son tarih bildirimi” gibi özenle hazırlanmış kimlik avı yemine karşı uyanık kalarak, Kimuky gibi ileri süren tehdit grupları tarafından yürütülen kimlik bilgisi hırsızlık kampanyalarına karşı daha iyi savunabilirler.
Sürekli güvenlik farkındalığı eğitimi, sağlam e -posta filtreleme ve başlık analizi ile birleştiğinde, kullanıcı hesaplarından ödün vermeden önce bu hedeflenen müdahaleleri engellemeye yardımcı olacaktır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.