Компания Hunt Intelligence обнаружила масштабную фишинговую кампанию, предположительно связанную с Северной Кореей, которая нацелена на пользователей южнокорейской технологической платформы Naver. Эксперты выявили открытый каталог, содержащий более 200 фишинговых доменов, многие из которых используют нестандартные домены верхнего уровня, такие как .cfd и .info. Эти поддельные страницы имитируют легитимные сервисы, чтобы обманом выманивать учетные данные у ничего не подозревающих жертв.
Описание
Фишинговая инфраструктура включает в себя три ключевые папки – change, cookie и login, каждая из которых соответствует типичным схемам кражи учетных данных. Подобные методы ранее использовались северокорейской группировкой Kimsuky, известной также как Emerald Sleet (по классификации Microsoft). Это указывает на возможную причастность данной группировки к текущей атаке. Анализ журналов IP-адресов показал, что злоумышленники активно мониторят входящие соединения, что может свидетельствовать о сборе данных для будущих целей или попытках избежать обнаружения.
Особое внимание исследователей привлекла частота смены SSL-сертификатов. Злоумышленники используют бесплатные сертификаты Let's Encrypt, которые обновляются каждые несколько дней. Такая тактика затрудняет обнаружение фишинговых ресурсов с помощью традиционных средств защиты, поскольку сертификаты остаются валидными, а домены постоянно меняются.
Помимо основной кампании, эксперты Hunt Intelligence обнаружили дополнительный инфраструктурный кластер, в котором злоумышленники выдавали себя за Apple. Это говорит о том, что атакующие могут параллельно вести другие фишинговые операции, направленные на разные сервисы и платформы.
Naver, будучи одной из крупнейших технологических компаний Южной Кореи, предоставляет широкий спектр услуг, включая поисковую систему, электронную почту, облачное хранилище и платежные решения. Компрометация учетных записей пользователей Naver может привести к утечке персональных данных, финансовым потерям и даже шпионажу. Учитывая возможную связь с северокорейскими хакерами, мотивация атаки может быть как финансовой, так и политической.
Компания Hunt Intelligence рекомендует пользователям Naver проявлять повышенную бдительность при переходе по ссылкам, особенно если они запрашивают ввод логина и пароля. Также стоит проверять доменные имена и обращать внимание на подозрительные сертификаты. Владельцам корпоративных аккаунтов следует внедрять многофакторную аутентификацию и обучать сотрудников основам кибербезопасности.
Эта атака – очередное напоминание о том, что фишинг остается одним из самых распространенных и опасных методов кибератак. Даже крупные платформы с мощными системами защиты не застрахованы от целевых кампаний, особенно если злоумышленники обладают ресурсами государственных структур. Власти Южной Кореи и международные организации по кибербезопасности, вероятно, уже изучают этот инцидент, чтобы предотвратить дальнейшие атаки и выявить виновных.
Индикаторы компрометации
Domains
- applelplus1.hydadhybidad2.xyz
- appleplus.dnbaletmigardam.top
- appleplus.sbs
- appleplus.shop
- ecolekoenig.top
- file-explorer-aerocenter.org
- gyvan3-ppfhg.link
- schulen-horw.com
- shelby-cp-ecole.org
- tarifaconcursodeacreedores.top
- topseven.top
- ulta.appleplus.store
- vinetro.info
- westwindmotorinn.xyz
- wrightechltd.link
- www.fnsc-law.info
- yarzzk.link
SHA256
- 3201fa0f5d8269e556aec50f820f17e1ae760cd86e5084bdccdfe0aff6430e06
- 35a101941f438a7d072b31eb3b666e2c31a070dd7cf8099d20b738778fbd3458
