Aktor ancaman yang berpihak pada Korea Utara dikenal sebagai Kimsuky telah dikaitkan dengan serangkaian serangan phishing yang melibatkan pengiriman pesan email yang berasal dari alamat pengirim Rusia yang pada akhirnya melakukan pencurian kredensial.
“Email phishing dikirim terutama melalui layanan email di Jepang dan Korea hingga awal September,” kata perusahaan keamanan siber Korea Selatan, Genians. “Kemudian, mulai pertengahan September, beberapa email phishing yang disamarkan seolah-olah dikirim dari Rusia diamati.”
Hal ini mencakup penyalahgunaan layanan email Mail.ru VK, yang mendukung lima domain alias berbeda, termasuk mail.ru, internet.ru, bk.ru, inbox.ru, dan list.ru.
Genians mengatakan pihaknya telah mengamati aktor Kimsuky memanfaatkan semua domain pengirim yang disebutkan di atas untuk kampanye phishing yang menyamar sebagai lembaga keuangan dan portal internet seperti Naver.
Serangan phishing lainnya melibatkan pengiriman pesan yang meniru layanan penyimpanan cloud MYBOX Naver dan bertujuan untuk mengelabui pengguna agar mengklik link dengan menimbulkan rasa urgensi yang salah bahwa file berbahaya telah terdeteksi di akun mereka dan mereka perlu menghapusnya.
Varian email phishing bertema MYBOX telah tercatat sejak akhir April 2024, dengan gelombang awal menggunakan domain Jepang, Korea Selatan, dan AS untuk alamat pengirim.
Meskipun pesan-pesan ini seolah-olah dikirim dari domain seperti “mmbox[.]ru” dan “ncloud[.]ru,” analisis lebih lanjut mengungkapkan bahwa pelaku ancaman memanfaatkan server email milik Universitas Evangelia (evangelia[.]edu) untuk mengirim pesan menggunakan layanan mailer berbasis PHP yang disebut Star.
Perlu dicatat bahwa penggunaan alat email sah seperti PHPMailer dan Star oleh Kimsuky sebelumnya didokumentasikan oleh perusahaan keamanan perusahaan Proofpoint pada November 2021.
Tujuan akhir dari serangan ini, menurut Genians, adalah untuk melakukan pencurian kredensial, yang kemudian dapat digunakan untuk membajak akun korban dan menggunakannya untuk melancarkan serangan lanjutan terhadap karyawan atau kenalan lain.
Selama bertahun-tahun, Kimsuky telah terbukti mahir dalam melakukan kampanye rekayasa sosial yang berorientasi email, menggunakan teknik untuk memalsukan pengirim email agar tampak seolah-olah mereka berasal dari pihak tepercaya, sehingga menghindari pemeriksaan keamanan.
Awal tahun ini, pemerintah AS mengecam pelaku siber tersebut karena mengeksploitasi “kebijakan pencatatan Otentikasi, Pelaporan, dan Kesesuaian Pesan Berbasis Domain DNS (DMARC) yang tidak dikonfigurasi dengan benar untuk menyembunyikan upaya rekayasa sosial.”
