Công ty an ninh mạng Genians của Hàn Quốc cho biết: "Email lừa đảo chủ yếu được gửi qua các dịch vụ email tại Nhật Bản và Hàn Quốc cho đến đầu tháng 9/2024, sau đó từ giữa tháng 9, một số email lừa đảo được ngụy trang với địa chỉ người gửi từ Nga đã bị phát hiện".
Hành động của tin tặc bao gồm việc lạm dụng dịch vụ email Mail[.]ru của VK, hỗ trợ 5 tên miền bí danh khác nhau gồm: mail[.]ru, internet[.]ru, bk[.]ru, inbox[.]ru và list[.]ru.
Genians cho biết họ đã quan sát thấy nhóm tin tặc Kimsuky lợi dụng tất cả các tên miền người gửi đã đề cập ở trên cho chiến dịch lừa đảo trá hình thành các tổ chức tài chính và cổng thông tin Internet như Naver.
Các cuộc tấn công lừa đảo khác bao gồm việc gửi các tin nhắn bắt chước dịch vụ lưu trữ đám mây MYBOX của Naver, nhằm mục đích đánh lừa người dùng nhấp vào các liên kết bằng cách tạo ra các thông báo cho người nhận rằng các tệp độc hại đã được phát hiện trong tài khoản của họ và họ cần phải xóa chúng.
Các biến thể của email lừa đảo bắt trước MYBOX đã được ghi nhận kể từ cuối tháng 4/2024, với các đợt tấn công đầu tiên sử dụng tên miền Nhật Bản, Hàn Quốc và Hoa Kỳ làm địa chỉ người gửi.
Email của nhóm tin tặc Kimsuky có liên kết với Triều Tiên
Thời gian tin tặc tấn công đánh cắp thông tin xác thực theo Genians
Mặc dù, nhóm tin nhắn này bề ngoài sử dụng email gửi từ các miền như "mmbox[.]ru" và "ncloud[.]ru", nhưng các phân tích sâu hơn đã tiết lộ rằng chúng đã lợi dụng một máy chủ email bị xâm phạm thuộc Đại học Evangelia (evangelia[.]edu) để gửi tin nhắn bằng dịch vụ gửi thư dựa trên PHP có tên là Star.
Điều đáng chú ý là việc chúng sử dụng các công cụ email hợp pháp như PHPMailer và Star đã từng được công ty bảo mật doanh nghiệp Proofpoint ghi nhận vào tháng 11/2021.
Theo Genians, mục tiêu cuối cùng của các cuộc tấn công này là thực hiện hành vi trộm cắp thông tin đăng nhập, sau đó có thể dùng thông tin này để chiếm đoạt tài khoản của nạn nhân và dùng chúng để thực hiện các cuộc tấn công tiếp theo.
Trong nhiều năm qua, nhóm tin tặc Kimsuky đã chứng minh mình rất thành thạo trong việc thực hiện các chiến dịch tấn công sử dụng kỹ nghệ xã hội để giả mạo người gửi email như thể họ đến từ các bên đáng tin cậy, từ đó có thể tránh được các cuộc kiểm tra bảo mật.
Thanh Bình
14:00 | 07/01/2025
08:00 | 13/11/2024
12:00 | 23/12/2024
08:00 | 05/11/2024
11:00 | 26/08/2024
14:00 | 07/01/2025
Những kẻ tấn công từ Triều Tiên đứng sau chiến dịch tấn công Contagious Interview đang diễn ra đã bị phát hiện đang phát tán một phần mềm độc hại JavaScript mới có tên là OtterCookie.
10:00 | 04/12/2024
Công ty an ninh mạng VulnCheck (Mỹ) vừa qua đã lên tiếng cảnh báo rằng, tin tặc có thể đang khai thác một lỗ hổng bảo mật nghiêm trọng trên các máy chủ ProjectSend, vốn đã được vá cách đây khoảng một năm.
09:00 | 14/11/2024
Trong thời đại công nghệ số, công nghệ trở thành một phần không thể thiếu trong ngành Y tế, các bệnh viện và cơ sở y tế toàn cầu ngày càng trở thành mục tiêu của những cuộc tấn công mạng phức tạp và tinh vi.
18:00 | 11/10/2024
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025