Công ty an ninh mạng Genians của Hàn Quốc cho biết: "Email lừa đảo chủ yếu được gửi qua các dịch vụ email tại Nhật Bản và Hàn Quốc cho đến đầu tháng 9/2024, sau đó từ giữa tháng 9, một số email lừa đảo được ngụy trang với địa chỉ người gửi từ Nga đã bị phát hiện".
Hành động của tin tặc bao gồm việc lạm dụng dịch vụ email Mail[.]ru của VK, hỗ trợ 5 tên miền bí danh khác nhau gồm: mail[.]ru, internet[.]ru, bk[.]ru, inbox[.]ru và list[.]ru.
Genians cho biết họ đã quan sát thấy nhóm tin tặc Kimsuky lợi dụng tất cả các tên miền người gửi đã đề cập ở trên cho chiến dịch lừa đảo trá hình thành các tổ chức tài chính và cổng thông tin Internet như Naver.
Các cuộc tấn công lừa đảo khác bao gồm việc gửi các tin nhắn bắt chước dịch vụ lưu trữ đám mây MYBOX của Naver, nhằm mục đích đánh lừa người dùng nhấp vào các liên kết bằng cách tạo ra các thông báo cho người nhận rằng các tệp độc hại đã được phát hiện trong tài khoản của họ và họ cần phải xóa chúng.
Các biến thể của email lừa đảo bắt trước MYBOX đã được ghi nhận kể từ cuối tháng 4/2024, với các đợt tấn công đầu tiên sử dụng tên miền Nhật Bản, Hàn Quốc và Hoa Kỳ làm địa chỉ người gửi.
Email của nhóm tin tặc Kimsuky có liên kết với Triều Tiên
Thời gian tin tặc tấn công đánh cắp thông tin xác thực theo Genians
Mặc dù, nhóm tin nhắn này bề ngoài sử dụng email gửi từ các miền như "mmbox[.]ru" và "ncloud[.]ru", nhưng các phân tích sâu hơn đã tiết lộ rằng chúng đã lợi dụng một máy chủ email bị xâm phạm thuộc Đại học Evangelia (evangelia[.]edu) để gửi tin nhắn bằng dịch vụ gửi thư dựa trên PHP có tên là Star.
Điều đáng chú ý là việc chúng sử dụng các công cụ email hợp pháp như PHPMailer và Star đã từng được công ty bảo mật doanh nghiệp Proofpoint ghi nhận vào tháng 11/2021.
Theo Genians, mục tiêu cuối cùng của các cuộc tấn công này là thực hiện hành vi trộm cắp thông tin đăng nhập, sau đó có thể dùng thông tin này để chiếm đoạt tài khoản của nạn nhân và dùng chúng để thực hiện các cuộc tấn công tiếp theo.
Trong nhiều năm qua, nhóm tin tặc Kimsuky đã chứng minh mình rất thành thạo trong việc thực hiện các chiến dịch tấn công sử dụng kỹ nghệ xã hội để giả mạo người gửi email như thể họ đến từ các bên đáng tin cậy, từ đó có thể tránh được các cuộc kiểm tra bảo mật.
Thanh Bình
14:00 | 07/01/2025
08:00 | 13/11/2024
12:00 | 23/12/2024
08:00 | 05/11/2024
11:00 | 26/08/2024
14:00 | 07/01/2025
Những kẻ tấn công từ Triều Tiên đứng sau chiến dịch tấn công Contagious Interview đang diễn ra đã bị phát hiện đang phát tán một phần mềm độc hại JavaScript mới có tên là OtterCookie.
16:00 | 27/11/2024
Ngày nay, cụm từ "chuỗi cung ứng" đã vô cùng phổ biến trong những câu chuyện đời sống hàng ngày và trở thành một yếu tố then chốt trong nền kinh tế toàn cầu, đóng vai trò quan trọng trong việc sản xuất và phân phối hàng hóa và dịch vụ. Đây cũng là mục tiêu mà tội phạm công nghệ cao nhắm tới bằng phần mềm độc hại hay nhiều cách thức khác nhau.
09:00 | 18/11/2024
Tin tặc đang lợi dụng cụm từ tìm kiếm "Mèo Bengal có hợp pháp ở Úc không" trên Google để phát tán phần mềm độc hại, gây nguy hiểm cho thiết bị của người dùng.
09:00 | 08/11/2024
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025