lazarusholic

2024-08-12, Sakai
https://wezard4u.tistory.com/429251
#Phishing #Kimsuky

일단 오늘은 북한 해킹 단체 김수키(Kimsuky) 에서 만든 피싱(Phishing)인 연세대학교 웹메일 사이트으로 일단 핵심 피싱 사이트는 알수 없고 피싱 사이트 일부만 확보를 할수가 있어서 유포 주소를 확인할 수가 없으며 그냥 순수하게 그냥 피싱 사이트 파일로 분석을 해보겠습니다.
simos(.)online sorsi(.)online wodods(.)online wodods(.)xyz audko(.)store avist(.)store nlsie(.)store nusiu(.)live
중 하나로 추측이 됩니다. 일단 해당 html 에서 logoFile_1643014429.jpg 분을 알 수가 없어서 어떻게 구성이 돼 있는지 모릅니다. 일단 기본적으로 전체적으로 어떻게 보이는지 모름
일단 피싱 사이트 메일 내용은 다음과 같습니다.
업데이트 안내
더 나아진 서비스를 만나보세요.
오른쪽 메뉴가 생겼어요.
설정과 SMS메뉴가 여기로 이동되었습니다.
그만 보기 다음
서비스명이 바뀌었어요.
주소록은 연락처로,
캘린더는 일정으로,
전자결재는 결재로,
웹하드는 드라이브라고 불러주세요.
그만 보기 다음
프로필 레이어가 생겼어요.
설정 메뉴로 이동할 수 있고,
권한에 따라 관리자 메뉴로 이동할 수 있습니다.
알겠습니다!
내용을 보면 서비스 메뉴 및 서비스명이 바뀐 걸로 확인을 할 수가 있습니다.
login(.)php 내용
'language', 'username' => 'usern(a)me', 'pass(w)ord' => 'passw(o)rd', 'c(o)unt' => 'count' ); $_url = $_SERVER([)'REQUEST_URI']; $date(=)date ("F j, Y, g:i a"); function wri(t)e($str) { $fp = fopen((g)etenv ("REMO T(E)_ADDR"), "a+"); f(w)rite($fp, $str); fwr(i)te($fp, "\r\n"); fclose( $fp); …

http://audko.store
http://avist.store
http://login.php
http://nlsie.store
http://nusiu.live
http://simos.online
http://sorsi.online
http://wodods.online
http://wodods.xyz