lazarusholic

2025-05-28, Sakai
https://wezard4u.tistory.com/429496
#Kimsuky #Phishing

오늘도 우리 민족 이면서 대한민국 국민을 자신들 법카 인줄 아는 북한 해킹 단체인 김수키(Kimsuky)에서 만든 [국세청] 5월 신고 납부기한 변동통지서가 도착했어요. 분석(2025.5.20)을 하는 시간을 가져 보겠습니다.
일단 피싱 메일 내용은 다음과 같습니다.
[국세청] 5월 신고 납부기한 변동통지서가 도착했어요.
XXX*****님, 지금 확인해 보세요.
발송기관:국세청
전자문서 종류 5월 신고 납부기한 변동통지서
인증기한:2025-05-26 23:59 까지
기한 내 열람하지 않으면 발송기관 정책에 따라 다른 수단(종이 우편, SMS/LMS 등) 또는 다른 채널(타사앱)로 발송됩니다.
기관에서 정식 발송된 문서는
네이버앱 에서 삼선메뉴에서 전체 서비스에서 전자문서에 표시됩니다.
있으며 일단 공격자는 간단하게 비밀번호만 입력하게 하려고 아이디는 미리 입력을 해 놓은 상태입니다.
여기서 사용자가 비밀번호를 입력하면 전송이 되는 방식을 사용하고 있습니다.
hxxp://doc-info(.)versioninfo(.)r-e(.)kr/nts/?wreply=????@naver(.)com&m=hxxps://nid(.)naver(.)com/nidlogin(.)login
실제로는
[email protected]:사용자의 이메일 주소를 삽입해 맞춤형 피싱 페이지 제공을 하고 있으며
m=hxxps://nid(.)naver(.)com/nidlogin(.)login
진짜 네이버 로그인 주소처럼 보이게 하여 속이기 위한 미끼 파라미터 실제로는 사용자가 피싱 사이트에 로그인을 진행하며 계정정보를 탈취하고 진짜 네이버로 리디렉션하는 방식을 취하고 있음
이메일 헤더 분석
보낸 사람:notice-mail@inbox(.)ru
받는 사람:????@naver(.)com
반환 주소 (Return-Path):notice-mail@inbox(.)ru
발신 IP:95(.)163(.)59(.)116
발신 서버:send277(.)i(.)mail(.)ru
SPF/DKIM/DMARC:모두 통과
보낸 시각:2025년 5월 20일 13:27:24 (KST 기준)
제목 Base64 디코딩
새로운 전자문서가 도착했어요.
1.SPF,DKIM,DMARC모두 통과
이메일이 실제로 inbox(.)ru 서버에서 발송되었으며 서명이 위조되지 않았음을 의미
정상적인 …