Americká vláda zveřejnila nové doporučení pro kybernetickou bezpečnost, které varuje před pokusy severokorejských aktérů posílat e-maily způsobem, který vypadá, že pocházejí od legitimních a důvěryhodných stran.
Společný bulletin byl vydán Národní bezpečnostní agenturou (NSA), Federálním úřadem pro vyšetřování (FBI) a ministerstvem zahraničí.
„KLDR (Korejská lidově demokratická republika) využívá tyto spear-phishingové kampaně ke shromažďování zpravodajských informací o geopolitických událostech, zahraničněpolitických strategiích protivníka a jakýchkoli informacích ovlivňujících zájmy KLDR tím, že získává nezákonný přístup k soukromým dokumentům, výzkumu a komunikaci cílů,“ uvedla NSA.
Tato technika se konkrétně týká zneužití nesprávně nakonfigurovaných zásad záznamů DNS Domain-based Message Authentication, Reporting, and Conformance (DMARC) ke skrytí pokusů o sociální inženýrství. Aktéři hrozeb tak mohou odesílat podvržené e-maily, jako by pocházely z e-mailového serveru legitimní domény.
Zneužití slabé politiky DMARC bylo přičítáno severokorejskému klastru aktivit sledovanému komunitou kybernetické bezpečnosti pod názvem Kimsuky (aka APT43, Black Banshee, Emerald Sleet, Springtail, TA427 a Velvet Chollima), který je sesterským kolektivem Lazarus Group a je přidružen k Reconnaissance General Bureau (RGB).
Společnost Proofpoint ve zprávě uvedla, že Kimsuky začal tuto metodu začleňovat v prosinci 2023 v rámci širšího úsilí zaměřit se na odborníky na zahraniční politiku kvůli jejich názorům na témata související s jaderným odzbrojením, politikou USA a Jižní Koreje a sankcemi.
Firma zabývající se podnikovou bezpečností popsala protivníka jako „důvtipného odborníka na sociální inženýrství“ a uvedla, že hackerská skupina je známá tím, že své cíle zapojuje na delší dobu prostřednictvím řady neškodných rozhovorů, aby si s nimi vybudovala důvěru, a to pomocí různých přezdívek, které se vydávají za odborníky na danou problematiku KLDR v think-tancích, akademické sféře, žurnalistice a nezávislém výzkumu.
„Oběti jsou často žádány, aby se podělily o své názory na tato témata prostřednictvím e-mailu nebo formálního výzkumného dokumentu či článku,“ uvedli výzkumníci společnosti Proofpoint Greg Lesnewich a Crista Giering.
„Malware nebo sběr přihlašovacích údajů nejsou nikdy přímo odesílány cílům bez výměny více zpráv a […] zřídka využívané aktérem hrozby. Je možné, že TA427 může splnit své zpravodajské požadavky tím, že se přímo zeptá cílů na jejich názor nebo analýzu, spíše než infekcí.“
Společnost také poznamenala, že mnoho subjektů, které TA427 podvedl, buď nepovolilo, nebo nevynucovalo zásady DMARC, což umožnilo, aby takové e-mailové zprávy obcházely bezpečnostní kontroly a zajistily doručení, i když tyto kontroly selžou.
Kromě toho bylo pozorováno, že Kimsuky používá „bezplatné e-mailové adresy, které falšují stejnou osobu v poli pro odpověď, aby přesvědčily cíl, že se stýkají s legitimním personálem“.
V jednom e-mailu, na který upozornila americká vláda, se aktér hrozby vydával za legitimního novináře, který se snažil získat rozhovor s nejmenovaným expertem, aby s ním prodiskutoval severokorejské plány na jaderné vyzbrojení, ale otevřeně poznamenal, že jeho e-mailový účet bude dočasně zablokován, a vyzval příjemce, aby mu odpověděl na osobní e-mail, což byl falešný účet napodobující novináře.
To naznačuje, že phishingová zpráva byla původně odeslána z kompromitovaného účtu novináře, čímž se zvyšuje šance, že oběť odpoví na alternativní falešný účet.
Organizacím se doporučuje, aby aktualizovaly své zásady DMARC tak, aby instruovaly své e-mailové servery, aby zacházely s e-mailovými zprávami, které neprojdou kontrolami, jako s podezřelými nebo spamovými (tj. do karantény nebo odmítnutím) a přijímaly souhrnné zprávy o zpětné vazbě nastavením e-mailové adresy v záznamu DMARC.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS