김수키(Kimsuky)만든 허위 권리보호 작성하신 게시물이 게시중단 되어 안내 말씀 드립니다.피싱 메일 분석(2025.4.1)
Contents
오늘은 북한 해킹 단체인 김수키(Kimsuky)에서 만든 피싱 메일 권리보호 작성하신 게시물이 게시중단 되어 안내 말씀 드립니다.에 대해 분석을 해보겠습니다.
일단 피싱 내용은 다음과 같습니다.
작성하신 게시물이 게시중단 되어
안내 말씀 드립니다.
안녕하세요? ???? 네이버 게시중단요청서비스 담당자 입니다.
항상 네이버를 이용해 주시고 많은 관심 가져 주셔서 진심으로 감사 드립니다.
고객님께서 작성하신 게시물이 다음과 같은 사유로 게시중단(임시조치) 되었음을 안내 드립니다.
대상 게시물 hxxs://blog(.)naver(.)com/????/22???7896?service=PostDelete
게시중단(임시조치) 요청자
관련 당사자
게시중단(임시조치) 사유
기타권리침해 (게시물로 인해 피해를 주장하는 당사자로부터 게시중단 요청 접수)
게시중단(임시조치) 일자:2025년 4월 1일
확인하러 가기
게시중단(임시조치)는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제44조의2(정보의 삭제 요청 등)의 법령을 준수하기 위한 조치 입니다.
입니다.여기서 보면 간단하게 정말로 사용자가 게시물 저작권 등으 문제로 게시중단(임시조치)당한 것 처럼 되어져 있지만 사실은 해당 블로그에 접속을 해보면 가상화폐(암호화페) 관련 해서 글을 적은 분들 글을 보고 접근을 한것 같습니다.그리고 일단 확인하러 가기 버튼을 눌러주면 현재는 해당 네이버 피싱 사이트는 삭제 되었지만 피해가 발생을 하지 않았을까?하는 생각이 됩니다.
그리고 피싱 공격이 사용 되는 사이트는 다음과 같습니다.
피싱 사이트
hxxp://=
myblog(.)invoicegroup(.)64bit(.)kr/cookie/?wreply=?????@naver(.)com&m=3Dhttp=
s%3A%2F%2Fnid(.)naver(.)com%2Fnidlogin(.)login%3Furl%3Dhttp%253A%252F%252Fmail(.)na=
ver.com%252F
디코딩
hxxp://myblog(.)invoicegroup(.)64bit(.)kr/cookie/?wreply=????@naver(.)com&m=hxxps://nid(.)naver(.)com/nidlogin.login?url=h??p%3A%2F%2Fmail(.)naver(.)com%2F
이 될것입니다.
네이버의 로그인 페이지 URL에 악의적인 정보가 포함되어 있을 경우 사용자가 …
일단 피싱 내용은 다음과 같습니다.
작성하신 게시물이 게시중단 되어
안내 말씀 드립니다.
안녕하세요? ???? 네이버 게시중단요청서비스 담당자 입니다.
항상 네이버를 이용해 주시고 많은 관심 가져 주셔서 진심으로 감사 드립니다.
고객님께서 작성하신 게시물이 다음과 같은 사유로 게시중단(임시조치) 되었음을 안내 드립니다.
대상 게시물 hxxs://blog(.)naver(.)com/????/22???7896?service=PostDelete
게시중단(임시조치) 요청자
관련 당사자
게시중단(임시조치) 사유
기타권리침해 (게시물로 인해 피해를 주장하는 당사자로부터 게시중단 요청 접수)
게시중단(임시조치) 일자:2025년 4월 1일
확인하러 가기
게시중단(임시조치)는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제44조의2(정보의 삭제 요청 등)의 법령을 준수하기 위한 조치 입니다.
입니다.여기서 보면 간단하게 정말로 사용자가 게시물 저작권 등으 문제로 게시중단(임시조치)당한 것 처럼 되어져 있지만 사실은 해당 블로그에 접속을 해보면 가상화폐(암호화페) 관련 해서 글을 적은 분들 글을 보고 접근을 한것 같습니다.그리고 일단 확인하러 가기 버튼을 눌러주면 현재는 해당 네이버 피싱 사이트는 삭제 되었지만 피해가 발생을 하지 않았을까?하는 생각이 됩니다.
그리고 피싱 공격이 사용 되는 사이트는 다음과 같습니다.
피싱 사이트
hxxp://=
myblog(.)invoicegroup(.)64bit(.)kr/cookie/?wreply=?????@naver(.)com&m=3Dhttp=
s%3A%2F%2Fnid(.)naver(.)com%2Fnidlogin(.)login%3Furl%3Dhttp%253A%252F%252Fmail(.)na=
ver.com%252F
디코딩
hxxp://myblog(.)invoicegroup(.)64bit(.)kr/cookie/?wreply=????@naver(.)com&m=hxxps://nid(.)naver(.)com/nidlogin.login?url=h??p%3A%2F%2Fmail(.)naver(.)com%2F
이 될것입니다.
네이버의 로그인 페이지 URL에 악의적인 정보가 포함되어 있을 경우 사용자가 …
IoC
158.247.242.169