lazarusholic

2024-07-22, Sakai
http://wezard4u.tistory.com/429236
#Phishing #Kimsuky

오늘은 북한 해킹 단체 김수키(Kimsuky)에서 만든 피싱(Phishing) 사이트로 고려대학교 지식기반 포털시스템으로 속이는 사이트입니다. 일단 진짜 고려대학교 지식기반 포털시스템 접속을 해보니 진짜 사이트는 접속이 안 되고 인터넷 검색을 돌려 보니 예전에 운영하던 진짜 사이트하고 똑같이 제작이 된 것을 확인할 수가 있었습니다.
유포 사이트
hxxp://osihi(.)store/korea/Intro(.)kpd(.)html
이며 일단 다른 것은 예를 들어서 메일, 연구 포털, 도서관, 여러 가지 증명, 수강신청 등과 같은 것은 진짜 고려대학교 사이트로 넘어가게 작성이 돼 있습니다.
그리고 웹 소스를 보면 http로 된 진짜 사이트들이 있는데 그러면 연식이 오래된 피싱 사이트 라는 것을 추측할 수가 있습니다.
HTTP Debugger Pro로 어떻게 작동이 될까 해서 보면 다음과 같이 고려대학교 계정정보가 전송되는 것을 확인할 수가 있었습니다.
hxxp://osihi(.)store/korea/login(.)php
Raw 값은 다음과 같습니다.
POST /korea/login(.)php HTTP/1.1
Host: osihi(.)store
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:129.0) Gecko/20100101 Firefox/129.0
Accept: */*
Accept-Language: ko-KR,ko;q=0.8,en-US;q=0.5,en;q=0.3
Prefer: safe
Content-Type: application/x-w(w)w-form-urlencoded
X-Requested-With: XMLHttpRequest
Origin: hxxp://osihi(.)store
DNT: 1
Sec-GPC: 1
Connection: keep-alive
Accept-Encoding: gzip, deflate
Content-Length: 49
username=rlawjddmsroTpRl&password=TlqtpRL&count=0
그리고 해당 개인정보는 다음과 같음 사이트에 저장됩니다.
hxxp://osihi(.)store/korea/
저기서 보면 ip 주소들이 보일 것입니다. 해당 부분이 피해자들의 로그인 정보 ID, 비밀번호가 저장된 곳입니다. 해당 부분을 클릭하면 다운로드가 되게 돼 있고 …

http://osihi.store/korea/
http://osihi.store/korea/Intro.kpd.html
http://osihi.store/korea/login.php