Исследователи компании Hunt обнаружили фишинговую кампанию, предположительно связанную с Северной Кореей и направленную на Naver, крупную южнокорейскую технологическую платформу.
Описание
Кампания включает в себя открытый каталог, содержащий фишинговые страницы, которые, судя по всему, были созданы для кражи учетных данных пользователей Naver. На фишинговом сервере размещено более 200 доменов, многие из которых используют необычные домены верхнего уровня, помимо .store, например .cfd и .info. Большинство доменов имеют техническую тематику и включают такие термины, как «онлайн», «сервер», «json», «почта» и «хостинг». Исследователи Hunt также обнаружили несвязанный инфраструктурный кластер, использующий домены и сертификаты, выдающие себя за Apple.
Исследователи Hunt сообщают, что фишинговая кампания, нацеленная на пользователей Naver, содержит три папки - change, cookie и login, каждая из которых соответствует шаблонам кампаний по краже учетных данных, а также таким угрожающим субъектам, как Kimsuky (отслеживается Microsoft как Emerald Sleet). Журналы IP-адресов позволяют предположить, что злоумышленник активно отслеживает входящие соединения, потенциально следит за исследователями или определяет будущие цели. Исследователи также изучили историю SSL. Они обнаружили, что сертификаты TLS, выданные бесплатной службой Let's Encrypt, часто менялись каждые несколько дней.
Indicators of Compromise
Domains
- applelplus1.hydadhybidad2.xyz
- appleplus.dnbaletmigardam.top
- appleplus.sbs
- appleplus.shop
- ecolekoenig.top
- file-explorer-aerocenter.org
- gyvan3-ppfhg.link
- schulen-horw.com
- shelby-cp-ecole.org
- tarifaconcursodeacreedores.top
- topseven.top
- ulta.appleplus.store
- vinetro.info
- westwindmotorinn.xyz
- wrightechltd.link
- www.fnsc-law.info
- yarzzk.link
SHA256
- 3201fa0f5d8269e556aec50f820f17e1ae760cd86e5084bdccdfe0aff6430e06
- 35a101941f438a7d072b31eb3b666e2c31a070dd7cf8099d20b738778fbd3458
