Kuzey Kore bağlantılı tehdit aktörü Kimsuki Rusya’daki gönderen adreslerinden gelen e-posta mesajlarının gönderilmesini ve sonuçta kimlik bilgileri hırsızlığı yapılmasını içeren bir dizi kimlik avı saldırısıyla bağlantılı olduğu tespit edildi.
Güney Koreli siber güvenlik şirketi Genians, “Kimlik avı e-postaları eylül ayı başına kadar çoğunlukla Japonya ve Kore’deki e-posta hizmetleri aracılığıyla gönderiliyordu” dedi. “Daha sonra Eylül ortasından itibaren Rusya’dan gönderiliyormuş gibi görünen bazı kimlik avı e-postaları gözlemlendi.”
Bu, mail.ru, internet.ru, bk.ru, inbox.ru ve list.ru dahil olmak üzere beş farklı takma ad alanını destekleyen VK’nın Mail.ru e-posta hizmetinin kötüye kullanılmasını gerektirir.
Genians, Kimsuky aktörlerinin, Naver gibi finans kurumları ve internet portalları kılığına giren kimlik avı kampanyaları için yukarıda bahsedilen tüm gönderen etki alanlarından yararlandığını gözlemlediğini söyledi.
Diğer kimlik avı saldırıları, Naver’in MYBOX bulut depolama hizmetini taklit eden mesajlar göndermeyi gerektiriyor ve hesaplarında kötü amaçlı dosyaların tespit edildiğine ve bunları silmeleri gerektiğine dair yanlış bir aciliyet duygusu uyandırarak kullanıcıları bağlantılara tıklamaları için kandırmayı amaçlıyor.
MYBOX temalı kimlik avı e-postalarının çeşitleri Nisan 2024’ün sonlarından bu yana kaydediliyor; ilk dalgalarda gönderen adresleri için Japonca, Güney Kore ve ABD alan adları kullanılıyor.
Bu mesajlar görünüşte “mmbox” gibi alan adlarından gönderiliyordu.[.]ru” ve “ncloud[.]ru”, daha ayrıntılı analiz, tehdit aktörünün Evangelia Üniversitesi’ne (evangelia) ait güvenliği ihlal edilmiş bir e-posta sunucusundan yararlandığını ortaya çıkardı[.]edu) mesajları Star adlı PHP tabanlı bir posta gönderme hizmetini kullanarak göndermek için kullanılır.
Kimsuky’nin PHPMailer ve Star gibi meşru e-posta araçlarını kullandığının daha önce Kasım 2021’de kurumsal güvenlik firması Proofpoint tarafından belgelendiğini belirtmekte fayda var.
Genians’a göre bu saldırıların nihai amacı, kimlik bilgileri hırsızlığı yapmaktır; bu hırsızlık daha sonra kurbanların hesaplarını ele geçirmek ve bunları diğer çalışanlara veya tanıdıklara karşı devam eden saldırılar başlatmak için kullanılabilir.
Yıllar geçtikçe Kimsuky, e-posta odaklı sosyal mühendislik kampanyaları yürütme, e-posta gönderenleri güvenilir taraflardan geliyormuş gibi gösterme ve böylece güvenlik kontrollerinden kaçma tekniklerini kullanma konusunda usta olduğunu kanıtladı.
Bu yılın başlarında ABD hükümeti, siber aktörün “sosyal mühendislik girişimlerini gizlemek için yanlış yapılandırılmış DNS Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) kayıt politikalarından” yararlandığı yönünde çağrıda bulundu.