Güney Kore’nin ulusal vergi hizmetinden kaynaklandığını iddia eden yeni bir kimlik avı saldırıları dalgası ortaya çıktı ve alıcıları naver kimlik bilgilerini ifşa etmek için alıcıları kandırmak için tanıdık elektronik belge bildirimlerinden yararlandı.
25 Ağustos 2025 tarihinde dağıtılan e -posta, Naver’ın güvenli belge hizmeti tarafından kullanılan resmi formatı taklit ederek, göndereni “Ulusal Vergi Hizmeti” olarak görüntüleyin ve 31 Ağustos’a kadar “Eylül vergi beyannamesi bildirimini” görüntülememenin alternatif teslimat yöntemleriyle sonuçlanacağını uyarıyor.
Mesaj, makul bir konu satırı ve biçimlendirme yoluyla aciliyet ve meşruiyet taşır, ancak ince anomaliler kötü niyetli niyetini ortaya çıkarır.
E -posta başlığının daha yakından incelenmesi üzerine, adli analiz mesajın resmi bir NTS sunucusu yerine mail.ru altyapısından gönderildiğini gösterir.
Dönüş yolu [email protected]ve gönderen IP 95.163.59.13 send174.i.mail.ru’ya karşılık gelir. SPF, DKIM ve DMARC kontrollerine rağmen, e-postanın ark zinciri, organizasyonel onay olmadan sadece ilk kimlik doğrulamalı zincir adımını gösterir.
.webp)
Wezard4U Tistory analistleri, DNS aramalarında resmi NTS alan kayıtlarının olmamasının, siber savunucular ve bu tutarsızlıklar hakkında bilgilendirilmiş kullanıcılar için açık bir kırmızı bayrak olduğunu belirledi.
E-postanın gövdesine gömülü olan hxxp: //n-info.bill-nts.server-on.net/users2/? M = 3daggcf%3n… &[email protected]burada “m” parametresi, kodlanmış ve ROT13/Base64-karışık bir URL’yi yüzde olarak gizler.
Kod çözme, kimlik bilgilerini toplamak için tasarlanmış fabrikasyonlu bir oturum açma portalı olan nid.naver.com’a yönlendirmeyi ortaya çıkarır.
Kötü niyetli site, Naver’ın giriş arayüzünü hassas stil ile çoğaltır ve kullanıcıların resmi bir belgeyi görüntüleme kisvesi altında kullanıcı adlarını ve şifrelerini girmelerini ister.
.webp)
Sayfaya enjekte edilen JavaScript, giriş alanlarını yakalar ve bunları Kimuky tarafından kontrol edilen uzak bir sunucuya gönderir.
Tespit Kaçma Teknikleri
Kimuky’nin yükü, otomatik filtreleri ve insan incelemesini atlamak için birden fazla kaçırma taktiki kullanır.
Yönlendirme URL’sini yüzde kodlama, Base64 ve ROT13 katmanları arasında parçalayarak, saldırganlar, güvenlik ağ geçitleriyle eşleşmeyi karmaşıklaştırarak bağlantının gerçek hedefini gizler.
Basitleştirilmiş bir Python snippet, bağlantı analizinde keşfedilen kod çözme işlemini göstermektedir:-
import urllib.parse, codecs, base64
raw_param = "uggcf%253N%252S%252Sznvy(.)anire(.)pbz"
decoded = urllib.parse.unquote(raw_param)
rot13 = codecs.decode(decoded, "rot_13")
payload = base64.b64decode(rot13)
print(payload.decode())Bu rutin, kodlanmış dizeyi nid.naver.comkimlik avı hedefini onaylamak.
Ayrıca, e -posta, Gönderen sunucusundan Naver’ın posta ağ geçidine iletim şifrelemesini sağlayarak ve şüpheyi daha da azaltarak meşru mail.ru tlsv1.3 şifrelemesine dayanır.
Başlık sahteciliğini, katmanlı URL’yi gizlemeyi ve gerçekçi UI çoğaltmasını birleştirerek Kimsuky, kimlik bilgisi hırsızlık kampanyalarında yüksek bir başarı oranı elde eder.
Siber güvenlik ekipleri, resmi etki alanı adlarıyla maskelenen ve karma kodlayan URL’leri işaretlemek için kod çözme rutinlerini uygulamalıdır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.