Кимсуки гэгддэг Хойд Солонгостой холбоотой заналхийлэгч нь ОХУ-ын илгээгчийн хаягнаас ирсэн имэйл мессежийг илгээж, эцэст нь итгэмжлэлийг хулгайлах зорилготой фишинг халдлагын цувралтай холбоотой юм.
Өмнөд Солонгосын кибер аюулгүй байдлын Genians компани "Фишинг имэйлийг есдүгээр сарын эхэн хүртэл Япон, Солонгост ихэвчлэн цахим шуудангаар илгээсэн" гэж мэдэгджээ. Дараа нь есдүгээр сарын дунд үеэс Оросоос илгээсэн мэт далдалсан зарим фишинг цахим шуудангууд ажиглагдсан.
Энэ нь mail.ru, internet.ru, bk.ru, inbox.ru, list.ru зэрэг таван өөр домайныг дэмждэг VK-ийн Mail.ru цахим шуудангийн үйлчилгээг буруугаар ашиглах явдал юм.
Genians хэлэхдээ, Кимсуки жүжигчид Naver гэх мэт санхүүгийн байгууллага, интернет портал мэт халхавчлах кампанит ажилд дээр дурдсан бүх илгээгчийн домэйнүүдийг ашиглаж байгааг ажигласан.
Бусад фишинг халдлагууд нь Naver-ийн MYBOX үүлэн хадгалах үйлчилгээг дуурайсан мессеж илгээхтэй холбоотой бөгөөд хэрэглэгчдийг акаунтад нь хортой файлууд илэрсэн бөгөөд тэдгээрийг устгах шаардлагатай гэсэн хуурамч ойлголтыг төрүүлэх замаар холбоос дээр дарахад хүргэдэг.
2024 оны 4-р сарын сүүлчээс эхлэн MYBOX сэдэвт фишинг имэйлийн хувилбаруудыг бүртгэсэн бөгөөд эхний давалгаа нь илгээгчийн хаягийн хувьд Япон, Өмнөд Солонгос, АНУ-ын домэйнүүдийг ашигласан.
Эдгээр мессежийг "mmbox[.]ru" болон "ncloud[.]ru" гэх мэт домэйнуудаас илгээсэн бололтой, цаашдын шинжилгээгээр заналхийлэгч нь Эвангелиа Их Сургуулийн (evangelia[.]edu) хамаарал бүхий эвдэрсэн имэйл серверийг ашигласан болох нь тогтоогдсон. Star нэртэй PHP-д суурилсан шуудангийн үйлчилгээг ашиглан мессеж илгээх.
Кимсуки PHPMailer, Star гэх мэт хууль ёсны цахим шуудангийн хэрэгслүүдийг ашиглаж байсныг 2021 оны арваннэгдүгээр сард Proofpoint байгууллагын хамгаалалтын фирм өмнө нь баримтжуулсан гэдгийг тэмдэглэх нь зүйтэй.
Genians-ийн хувьд эдгээр халдлагын эцсийн зорилго нь итгэмжлэл хулгайлах явдал бөгөөд дараа нь хохирогчийн дансыг хулгайлж, бусад ажилчид эсвэл танилуудынхаа эсрэг дараагийн халдлага үйлдэхэд ашиглаж болно.
Олон жилийн туршид Кимсуки цахим шуудангаар чиглэсэн нийгмийн инженерчлэлийн кампанит ажил өрнүүлж, цахим шуудан илгээгчийг итгэмжлэгдсэн этгээдийнх юм шиг хууран мэхлэх арга техникийг ашиглаж, аюулгүй байдлын шалгалтаас зайлсхийж чадсан юм.
Энэ оны эхээр АНУ-ын засгийн газар кибер жүжигчнийг "нийгмийн инженерчлэлийн оролдлогыг нуун дарагдуулахын тулд DNS домэйнд суурилсан мессежийн баталгаажуулалт, тайлагнах, нийцүүлэх (DMARC) бичлэгийн бодлогыг буруу тохируулсан" гэж дуудсан.
news source: https://thehackernews.com
