lazarusholic

Everyday is lazarus.dayβ

북한 김수키(Kimsuky)에서 만든 세무통지서 피싱 메일 분석-6월 신고 납부기한 통지서가 도착했어요.(2025.5.28)

2025-06-02, Sakai
https://wezard4u.tistory.com/429501
#Kimsuky #Phishing

Contents

오늘도 우리 민족 이면서 대한민국 국민을 자신들 법카 인줄 아는 북한 해킹 단체인 김수키(Kimsuky)에서 만든 [국세청] 6월 신고 납부기한 통지서가 도착했어요. 분석(2025.5.28)을 하는 시간을 가져 보겠습니다.
일단 피싱 메일 내용은 다음과 같습니다.
6월 신고 납부기한 통지서가 도착했어요.
?????님,지금 확인해 보세요. Home corp. 발송기관 국세청
전자문서 종류 6월 신고 납부기한 통지서 인증기한 2025-06-09 23:59까지 기한 내 열람하지 않으면 발송기관 정책에 따라 다른 수단(종이 우편, SMS/LMS 등) 또는 다른 채널(타사앱)로 발송됩니다.
뭐 해당 이야기는 국세청이 아니고 북한 해킹 단체 김수키(Kimsuky)에서 보낸 피싱(Phishing) 메일입니다.
일단 피싱(Phishing)메일에 첨부된 링크를 눌러주면 다음 사이트로 이동합니다.
hxxp://nts(.)authenticatesvc(.)kro(.)kr/nts/?m=https%3A%2F%2Fnid(.)naver(.)com%2Fnidlog
in(.)login%3Furl%3Dhttp%253A%252F%252Fmail(.)naver(.)com%252F&w
reply=???@naver(.)com
입니다. 그러나 해당 사이트를 도메인 정보를 보면 다음과 같은 IP 주소를 확인할 수가 있습니다.
158(.)247(.)247(.)157
해당 IP 주소를 입력해서 접속하면 다음과 같은 것을 볼 수가 있으며
blog:2025-01-13
favicon(.)ico:2020-12-19 03:18,1.1K
help(.)php:2024-03-06 23:19,80K
invoice:2025-04-23 21:09
nts:2025-04-23 21:09
send_new:2024-05-21 21:02
여기서 help(.)php에 접속을 하면 비밀번호를 입력하고 접속을 해야지 해당 부분에서 희생자 분들의 정보를 확인과 피싱 사이트 관리를 하는 사이트 정보 및 피싱 메일을 보내기 위한 파일들을 확인할 수가 있지 않을까?
생각이 됩니다.invoice(송장),nts(국세청) 부분이 있을 것입니다.invoice 부분이 국민건강보험 부분이 아닐까? 생각이 됩니다.
158(.)247(.)247(.)157 …