김수키(Kimsuky)만든 허위 권리보호 작성하신 게시물이 게시중단 되어 안내 말씀 드립니다.피싱 메일 분석(2025.4.1)

오늘은 북한 해킹 단체인 김수키(Kimsuky)에서 만든 피싱 메일 권리보호 작성하신 게시물이 게시중단 되어 안내 말씀 드립니다.에 대해 분석을 해보겠습니다.
일단 피싱 내용은 다음과 같습니다.
작성하신 게시물이 게시중단 되어 
안내 말씀 드립니다.  
안녕하세요?  ???? 네이버 게시중단요청서비스 담당자 입니다.
항상 네이버를 이용해 주시고 많은 관심 가져 주셔서 진심으로 감사 드립니다.  
고객님께서 작성하신 게시물이 다음과 같은 사유로 게시중단(임시조치) 되었음을 안내 드립니다.  
대상 게시물 hxxs://blog(.)naver(.)com/????/22???7896?service=PostDelete  
게시중단(임시조치) 요청자  
관련 당사자 
게시중단(임시조치) 사유  
기타권리침해 (게시물로 인해 피해를 주장하는 당사자로부터 게시중단 요청 접수) 
게시중단(임시조치) 일자:2025년 4월 1일
확인하러 가기

네이버 권리보호 게시물 중단 피싱 메일

게시중단(임시조치)는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제44조의2(정보의 삭제 요청 등)의 법령을 준수하기 위한 조치 입니다.
입니다.여기서 보면 간단하게 정말로 사용자가 게시물 저작권 등으 문제로 게시중단(임시조치)당한 것 처럼 되어져 있지만 사실은 해당 블로그에 접속을 해보면 가상화폐(암호화페) 관련 해서 글을 적은 분들 글을 보고 접근을 한것 같습니다.그리고 일단 확인하러 가기 버튼을 눌러주면 현재는 해당 네이버 피싱 사이트는 삭제 되었지만 피해가 발생을 하지 않았을까?하는 생각이 됩니다.
그리고 피싱 공격이 사용 되는 사이트는 다음과 같습니다.

네이버 피싱 사이트 연결 주소

피싱 사이트

hxxp://=
myblog(.)invoicegroup(.)64bit(.)kr/cookie/?wreply=?????@naver(.)com&m=3Dhttp=
s%3A%2F%2Fnid(.)naver(.)com%2Fnidlogin(.)login%3Furl%3Dhttp%253A%252F%252Fmail(.)na=
ver.com%252F

디코딩

hxxp://myblog(.)invoicegroup(.)64bit(.)kr/cookie/?wreply=????@naver(.)com&m=hxxps://nid(.)naver(.)com/nidlogin.login?url=h??p%3A%2F%2Fmail(.)naver(.)com%2F

이 될것입니다.
네이버의 로그인 페이지 URL에 악의적인 정보가 포함되어 있을 경우 사용자가 로그인 완료 후 원치 않는 페이지로 강제 이동 하는 방식 일것입니다.
그리고 invoicegroup(.)64bit(.)kr DNS 정보를 따라 가면 다음과 같은 IP를 확인을 할수가 있습니다.
158(.)247(.)242(.)169
우리 APT 43 인 김수키(kimsuky)인것을 쉽게 확인을 할수가 있습니다.
이렇게 국세청,네이버,저작권 침해,세무조사 등을 사칭을 해서 개인정보를 탈취를 하고 있으니 항상 조심 해야 할것이면 만약 로그인 을 했을경우 비밀번호를 바꾸는 방법을 추천 하고 2FA를 반드시 설정을 해서 사용을 하시길 바라겠습니다.