북한 해킹 단체 김수키(Kimsuky) 구글 드라이브로 위장한 사이트-gplokio(.)site(2024.7.23)
Contents
오늘은 북한 해킹 단체 김수키(Kimsuky)에서 만든 피싱(Phishing) 사이트 구글 드라이브로 위장하는 사이트입니다. 사용자 자격 증명 타겟팅 이라고 하면 될 것입니다.
피싱(Phishing) 사이트 즉 Google 로그인 페이지로 리디렉션되는 가짜 Google 알림
hxxps://gplokio(.)site/drive/?ati=MzM5a3Nk
해당 사이트에 접속하면 다음과 같은 메시지를 확인할 수가 있습니다.
서버와의 통신이 임시 중단되었습니다.
Google에서 서버와의 통신과정에 임시 오류가 발생하였으며 그로 말미암아 Gmail 서비스가 잠시 중지되었습니다. 계속하려면 다시 로그인해주시기 바랍니다.
즉 서버 와의 통신 장애로 되지 않는 로그인 해달라고 하는 것이며 해당 로그인을 하려고 클릭을 하면 다음과 같은 사이트를 통해서 전달됩니다.
웹 소스 내용
<div style="text-align: center; padding-bottom: 13px"> <img height="79px" src="hxxps://www(.)gstatic(.)com/accountalerts/email/Red_circle_x2_35x39(.)png"> </div> 서버와의 통신이 임시 중단되었습니다.<br> <!-- <a style="font-family: Roboto-Regular,Helvetica,Arial,sans-serif;color: rgba(0,0,0,0.87); font-size: 16px; line-height: 1.8;">??@gmail(.)com</a> --> </div> </div> <div style="font-family: Roboto-Regular,Helvetica,Arial,sans-serif; font-size: 13px; color: rgba(0,0,0,0.87); line-height: 1.6;padding-left: 20px; padding-right: 20px;padding-bottom: 32px; padding-top: 24px;"> <div class="v2sp">Google에서 서버와의 통신과정에 임시 오류가 발생하였으며 그로 인하여 Gmail 서비스가 잠시 중지 되었습니다. 계속하려면 다시 로그인해주시기 바랍니다. <div style="padding-top: 24px; text-align: center;"> <a href="hxxps://gkjoiup(.)store/ghod/?millon=&q=aHR0cHM6Ly9hY(2)NvdW50cy5nb29nbGUuY29tL3YzL3NpZ25pbi9pZGVudGlmaWVyP2NvbnRpbnVlPWh0dHBzJTNBJTJGJ(T)JGbWFpbC5nb29nbGUuY29tJTJGbWFpbCUyRiZpZmt2PUFTNUxUQVR3V1dBeS11Rjh6UDhzS1h1(T)Ew(x)eXZmejRKVU85Wlk2d3lzX0s0QUlEUERRNm4tR1o5TDlMZnFkRnJVLW1Sc3VqaDVNU24mcmlwPTEmc2F(j)dT0xJnNlcnZpY2U9bWFpbCZmbG93TmFtZT1HbGl(m)V2ViU2lnbkluJmZsb3dFbnRyeT1TZXJ2aWNlTG9(n)aW4mZHNoPVMtNDAyMzA4MTg5JTNBMTcxODE4(N)jY1NjEyMTQzOCZkZG09MA" target="_self" style="display:inline-block; text-decoration: none;"> <table align="center" border="0" cellspacing="0" cellpadding="0" …
피싱(Phishing) 사이트 즉 Google 로그인 페이지로 리디렉션되는 가짜 Google 알림
hxxps://gplokio(.)site/drive/?ati=MzM5a3Nk
해당 사이트에 접속하면 다음과 같은 메시지를 확인할 수가 있습니다.
서버와의 통신이 임시 중단되었습니다.
Google에서 서버와의 통신과정에 임시 오류가 발생하였으며 그로 말미암아 Gmail 서비스가 잠시 중지되었습니다. 계속하려면 다시 로그인해주시기 바랍니다.
즉 서버 와의 통신 장애로 되지 않는 로그인 해달라고 하는 것이며 해당 로그인을 하려고 클릭을 하면 다음과 같은 사이트를 통해서 전달됩니다.
웹 소스 내용
<div style="text-align: center; padding-bottom: 13px"> <img height="79px" src="hxxps://www(.)gstatic(.)com/accountalerts/email/Red_circle_x2_35x39(.)png"> </div> 서버와의 통신이 임시 중단되었습니다.<br> <!-- <a style="font-family: Roboto-Regular,Helvetica,Arial,sans-serif;color: rgba(0,0,0,0.87); font-size: 16px; line-height: 1.8;">??@gmail(.)com</a> --> </div> </div> <div style="font-family: Roboto-Regular,Helvetica,Arial,sans-serif; font-size: 13px; color: rgba(0,0,0,0.87); line-height: 1.6;padding-left: 20px; padding-right: 20px;padding-bottom: 32px; padding-top: 24px;"> <div class="v2sp">Google에서 서버와의 통신과정에 임시 오류가 발생하였으며 그로 인하여 Gmail 서비스가 잠시 중지 되었습니다. 계속하려면 다시 로그인해주시기 바랍니다. <div style="padding-top: 24px; text-align: center;"> <a href="hxxps://gkjoiup(.)store/ghod/?millon=&q=aHR0cHM6Ly9hY(2)NvdW50cy5nb29nbGUuY29tL3YzL3NpZ25pbi9pZGVudGlmaWVyP2NvbnRpbnVlPWh0dHBzJTNBJTJGJ(T)JGbWFpbC5nb29nbGUuY29tJTJGbWFpbCUyRiZpZmt2PUFTNUxUQVR3V1dBeS11Rjh6UDhzS1h1(T)Ew(x)eXZmejRKVU85Wlk2d3lzX0s0QUlEUERRNm4tR1o5TDlMZnFkRnJVLW1Sc3VqaDVNU24mcmlwPTEmc2F(j)dT0xJnNlcnZpY2U9bWFpbCZmbG93TmFtZT1HbGl(m)V2ViU2lnbkluJmZsb3dFbnRyeT1TZXJ2aWNlTG9(n)aW4mZHNoPVMtNDAyMzA4MTg5JTNBMTcxODE4(N)jY1NjEyMTQzOCZkZG09MA" target="_self" style="display:inline-block; text-decoration: none;"> <table align="center" border="0" cellspacing="0" cellpadding="0" …
IoC
https://gplokio.site/drive/?ati=MzM5a3Nk