Северокорейская хакерская группа Kimsuky причастна к серии фишинговых атак, нацеленных на кражу учетных данных. По данным южнокорейской компании Genians, злоумышленники использовали электронные письма с российскими доменами, такими как mail.ru и bk.ru, для маскировки под легитимные сервисы. Основной метод заключался в подделке отправителей и создании ложного ощущения срочности, чтобы обманом заставить пользователей передать свои учетные данные.
Атаки включали сообщения, имитирующие облачный сервис MYBOX от Naver, с предупреждениями об угрозах в аккаунтах. Первая волна таких писем началась с апреля 2024 года, а с сентября использовались домены, связанные с российскими сервисами. Kimsuky также задействовал взломанные серверы, такие как сервер Evangelia University, для отправки фишинговых писем.
Согласно Genians, цель атак заключалась в хищении данных для дальнейшего компрометации аккаунтов и организации новых атак через цепочки доверия. Ранее фирма Proofpoint отмечала использование Kimsuky легитимных инструментов вроде PHPMailer для обхода систем безопасности. Группа известна своими социально-инженерными подходами, где подделанные адреса создают видимость сообщений от надежных источников.
В 2024 году США обвинили Kimsuky в использовании уязвимостей систем проверки подлинности доменов (DMARC) для сокрытия своих методов. Эти атаки подчеркивают важность усиления защиты электронной почты, проверки подлинности сообщений и обучения сотрудников распознавать фишинговые угрозы.
За третий квартал 2024 года хакеры в крипто украли более 750 миллионов долларов
