O grupo de ameaças alinhado com a Coreia do Norte, conhecido como Kimsuky, foi associado a uma série de ataques de phishing, que envolvem o envio de mensagens de e-mail originárias de endereços de remetentes russos para, em última análise, realizar o roubo de credenciais.
"Os e-mails de phishing foram enviados principalmente através de serviços de e-mail no Japão e na Coreia até o início de setembro", disse a empresa sul-coreana de cibersegurança Genians.
Então, a partir de meados de setembro, alguns e-mails de phishing disfarçados como se fossem enviados da Rússia foram observados.
Isso implica no abuso do serviço de e-mail Mail.ru da VK, que suporta cinco domínios aliás diferentes, incluindo mail.ru, internet.ru, bk.ru, inbox.ru e list.ru.
A Genians disse que observou os atores do Kimsuky aproveitando todos os domínios remetentes mencionados para campanhas de phishing que se disfarçam como instituições financeiras e portais de internet como Naver.
Outros ataques de phishing envolveram o envio de mensagens que imitam o serviço de armazenamento em nuvem MYBOX da Naver, visando enganar os usuários para que cliquem em links, induzindo um falso senso de urgência de que arquivos maliciosos foram detectados em suas contas e que precisam excluí-los.
Variantes de e-mails de phishing com temas do MYBOX foram registradas desde o final de abril de 2024, com as primeiras ondas usando domínios japoneses, sul-coreanos e dos EUA para endereços de remetentes.
Embora estas mensagens fossem aparentemente enviadas de domínios como "mmbox[.]ru" e "ncloud[.]ru", análises posteriores revelaram que o ator de ameaça aproveitou um servidor de e-mail comprometido pertencente à Universidade Evangelia (evangelia[.]edu) para enviar as mensagens usando um serviço de correio baseado em PHP chamado Star.
Vale ressaltar que o uso, pelo Kimsuky, de ferramentas legítimas de e-mail como PHPMailer e Star foi previamente documentado pela empresa de segurança empresarial Proofpoint em novembro de 2021.
O objetivo final desses ataques, segundo a Genians, é realizar o roubo de credenciais, que então poderiam ser usadas para sequestrar contas de vítimas e usá-las para lançar ataques subsequentes contra outros funcionários ou conhecidos.
Ao longo dos anos, o Kimsuky provou ser hábil em conduzir campanhas de engenharia social orientadas por e-mail, empregando técnicas para falsificar remetentes de e-mails, de modo a parecerem ser de partes confiáveis, evitando assim as verificações de segurança.
Mais cedo este ano, o governo dos EUA alertou sobre o ator cibernético por explorar "políticas de registro DMARC (Domain-based Message Authentication, Reporting and Conformance) configuradas incorretamente para ocultar tentativas de engenharia social."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...