Güney Kore'deki Google benzeri bir çevrimiçi platform olan Naver için kimlik bilgilerini çalmak için yüzlerce alan kullanan büyük ölçekli kimlik avı aktivitesi, Trickbot Botnet'e bağlı altyapı örtüşümlerini gösterir.
Bu saldırı için kullanılan kaynaklar, çeşitli saldırılarda kullanılacak giriş verilerini toplamak için siber suçlayıcı çabanın en büyüklüğünü göstermektedir.
Google'a benzer şekilde, Naver, web aramasından e-posta, haberlere ve Naver bilgisine çevrimiçi Q & A platformunda çeşitli bir hizmet seti sunmaktadır.
Normal kullanıcı hesaplarına erişimin yanı sıra, Naver kimlik bilgileri, şifre yeniden kullanımı sonucunda kapıyı da kurumsal ortamlara açabilir.
Siber İstihbarat Şirketi'nde Güvenlik Araştırmacıları Bu yılın başlarında, Naver kullanıcılarının kimlik bilgilerini toplamaya odaklanan büyük bir kimlik avı operasyonu tespit etti.
Bir alan adı - MailMangeCorp [.] ABD - BİZE BAŞADI - BİZ - Joe Słowik tarafından paylaşılan Joe Słowik tarafından, "Naver için geçerli bir giriş kimlik bilgilerini hasat etmek için tasarlanmış, hedeflenen bir kimlik avı altyapısının engin ağını" olarak paylaştı.
"Hosting altyapısını araştırırken, naver temalı kimlik avı sayfalarına hizmet etmek için kullanılan pakt analistleri, sihirbaz örümcüsüyle örtüştüler [A.K.A. Trickbot] Altyapı, "Günümüzde bir raporda.
Trickbot operasyonu, son zamanlarda, eski ortağı, Conti Ransomware sendikası ile yönetimine geçtiğine inanılıyor.
Araştırmacılar 542 benzersiz etki alanını operasyona bağladı, 532'si naver temalı kimlik avı için kullanılıyor. Operatörün, tek bir IP adresine çözülen bir dizi etki alanı adını kaydetmek için bir e-posta adresi kullanacağını fark ettiler.
Tehdit oyuncusu, Naver kampanyası için tescilli kişiler oluşturmak için birden fazla adrese güvendi. Etki alanlarından bazıları Şubat ayının son zamanlarda tescil edilmiştir, en eski olanlar Ağustos 2021'den itibaren buluştu.
Önceki araştırmacılar, yukarıdaki görüntüdeki IP adresine çözen alanların, Hostinger'da barındırılan Naver Platformu için potansiyel kurbanları sahte bir kurbanları sahte olan bir yönlendirme şemasının (HTTP / 302) bir parçasıydı.
İlk e-posta adresinden, Prevailion, 23.81.246 [.] 131'e kadar olan bir başka 58 phishing alanının bir kümesini bulabildi.
Araştırmacılara göre, virüs toplamında birkaç kobalt grev feneri örneği, 23.81.246 [.] 131 ile ilişkilendirildi.
Günümüzde Raporda, Sporilion, Naver Kimlik Avı alanlarını RiskIQ ve Microsoft'tan kamu araştırmasında ortaya çıkan Trickbot altyapısına bağlayan ek göstergeler sunar.
Araştırmacılar, bulgularının, naver kimlik avı faaliyetinin altyapı hala kullanımda olduğu için devam ettiğini ve bu ay için bu ay sayısız etki alanı kaydedildiğini söylüyor.
Prevairion, "Bu altyapının ayrı, ayrık kampanyaları desteklediği gibi göründüğünü ve Trickbot altyapısı olan çakışmaların bulunduklarını, barındırma ve DNS çözünürlükleriyle sınırlı olduklarını belirtti.
Şirket ayrıca "başlangıçta keşfedilen, doğrudan keşfedilen, doğrudan bir Ransomware grubunun çalışması gibi görünmemektedir" de altını çizer.
Bununla birlikte, bu dosya şifreleme saldırıları, genellikle değerli hedeflerin ağlarına erişimi arayan iştirakler veya ortaklar tarafından yönetilen kimlik avı veya kimlik bilgisi çalma kampanyaları tarafından gelir.
Prevalion'un bulgularının açıkladığı bir teori, siber suçların, operasyonları için bir "Altyapı AS-A-Servisi" türüne dayanıyor.
NVIDIA Veri 71.000'den fazla çalışanın açıkça kimlik bilgilerini ihlal etti
Sosyal medya kimlik avı saldırıları her zaman yüksek
FBI DIAVOL Ransomware Trickbot Cybercrime grubuna bağlar
Siber Casusluk Kampanyası Yenilenebilir Enerji Şirketlerini Hedefler
Emotet Kötü Amaçlı Yazılım Kampanyası, IRS'yi 2022 vergi sezonu için taklit eder.
Kaynak: Bleeping Computer