新一波声称源自韩国国税厅的网络钓鱼攻击已经出现,利用熟悉的电子文档通知来诱骗收件人泄露他们的 Naver 凭据。
该电子邮件于 2025 年 8 月 25 日分发,模仿了 Naver 安全文件服务使用的官方格式,将发件人显示为“国税厅”,并警告说,如果未能在 8 月 31 日之前查看“9 月纳税申报表付款到期通知”,将导致其他递送方式。
该消息通过合理的主题行和格式传达了紧迫性和合法性,但微妙的异常揭示了其恶意意图。
在仔细检查电子邮件标头后,取证分析表明该邮件是从 Mail.ru 基础设施而不是官方 NTS 服务器发送的。
返回路径为 schimmel2025@list.ru,发送方 IP 95.163.59.13 对应于 send174.i.mail.ru。尽管通过了 SPF、DKIM 和 DMARC 检查,但电子邮件的 ARC 链仅指示第一个经过身份验证-接收的链步骤,没有组织认可。
Wezard4u Tistory 分析师发现,DNS 查找中缺少官方 NTS 域记录对于网络防御者来说是一个明显的危险信号,并告知用户这些不一致之处。
电子邮件正文中嵌入了一个指向 hxxp://n-info.bill-nts.server-on.net/users2/?m=3Duggcf%3N…&wreply=recipient@naver.com 的链接,其中“m”参数隐藏了百分比编码和 ROT13/Base64 混合的 URL。
解码揭示了对 nid.naver.com 的重定向,这是一个旨在收集凭据的伪造登录门户。
该恶意网站以精确的样式复制了 Naver 的登录界面,提示用户以查看官方文档为幌子输入用户名和密码。
注入页面的 JavaScript 捕获输入字段并将其发布到 Kimsuky 控制的远程服务器。
检测规避技术
Kimsuky 的有效载荷采用多种规避策略来绕过自动过滤器和人工审查。
通过跨百分比编码、Base64 和 ROT13 层对重定向 URL 进行分段,攻击者混淆了链接的真实目的地,使安全网关的 URL 模式匹配变得复杂。
简化的 Python 片段说明了在链接分析中发现的解码过程:-
import urllib.parse, codecs, base64
raw_param = "uggcf%253N%252S%252Sznvy(.)anire(.)pbz"
decoded = urllib.parse.unquote(raw_param)
rot13 = codecs.decode(decoded, "rot_13")
payload = base64.b64decode(rot13)
print(payload.decode())此例程将编码的字符串转换为 ,确认网络钓鱼目的地。nid.naver.com
此外,该电子邮件依赖于合法的 Mail.ru TLSv1.3 加密,确保从发件人服务器到 Naver 邮件网关的传输加密,并进一步减少怀疑。
通过结合标头伪造、分层 URL 混淆和真实的 UI 复制,Kimsuky 在凭据盗窃活动中取得了很高的成功率。
网络安全团队应监控伪装成官方域名的 Mail.ru 源流量,并实施解码例程来标记混合编码 URL。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
