Национальная разведывательная служба Южной Кореи (NIS) и Ведомство по защите конституции Германии (BfV) расследуют деятельность хакерской организации KimSuki (также известной как Thallium, Velvet Thallium, Velvet, Tianlima и т.д.) хакерская организация использовала сервисы браузера и магазина приложений Google для атак на экспертов на Корейском полуострове и в Северной Корее.
Группа KimSuki нацелилась на администраторов порталов и знакомых с помощью spear phishing. spear phishing для кражи информации о счетах специалистов на Корейском полуострове и в Северной Корее, атаки на специалистов на Корейском полуострове и в Северной Корее.
KimSuki использовала взломанные учетные записи для кражи электронной почты, связанной с сайтом портала цели, а также данных, хранящихся в облачных сервисах.
электронные письма, связанные с портальным сайтом цели, а также данные, хранящиеся в облачных сервисах.
Между тем, два из недавно выявленных векторов атаки хакерской группы KimSuki используют расширение Google расширение для веб-браузера и сервис для передачи данных со смартфона на смартфон.
Indicators of Compromise
IPv4
- 23.106.122.16
Domains
- gonamod.com
- lowerp.onlinewebshop.net
- mc.pzs.kr
- navernnail.com
- siekis.com
MD5
- 012d5ffe697e33d81b9e7447f4aa338b
- 04bb7e1a0b4f830ed7d1377a394bc717
- 3458daa0dffdc3fbb5c931f25d7a1ec0
- 51527624e7921a8157f820eb0ca78e29
- 582a033da897c967faade386ac30f604
- 89f97e1d68e274b03bc40f6e06e2ba9a