Правительство США в четверг опубликовало новое консультативное предупреждение по кибербезопасности о попытках северокорейских злоумышленников отправлять электронные письма таким образом, чтобы создавалось впечатление, что они от законных и надежных сторон.
Совместный бюллетень был опубликован Агентством национальной безопасности (АНБ), Федеральным бюро расследований (ФБР) и Государственным департаментом.
"КНДР [Корейская Народно-Демократическая Республика] использует эти фишинговые кампании для сбора разведданных о геополитических событиях, внешнеполитических стратегиях противника и любой информации, затрагивающей интересы КНДР, путем получения незаконного доступа к частным документам, исследованиям и коммуникациям целей", - сказали в АНБ.
Этот метод конкретно касается использования неправильно настроенных политик аутентификации сообщений на основе домена DNS, отчетности и соответствия (DMARC) для сокрытия попыток социальной инженерии. При этом субъекты угрозы могут отправлять поддельные электронные письма, как если бы они были отправлены с почтового сервера законного домена.
Злоупотребление слабыми политиками DMARC приписывается северокорейскому кластеру активности, отслеживаемому сообществом кибербезопасности под названием Kimsuky (он же APT43, Black Banshee, Emerald Sleet, Springtail, TA427 и Velvet Chollima), который является сестринским коллективом Lazarus Group и связан с Генеральным бюро разведки (RGB).
В отчете, опубликованном в прошлом месяце, Proofpoint говорится, что Кимсуки начал внедрять этот метод в декабре 2023 года в рамках более широких усилий по привлечению экспертов по внешней политике к их мнениям по темам, связанным с ядерным разоружением, политикой США и Южной Кореи и санкциями.
Описывая противника как "опытного эксперта по социальной инженерии", компания Enterprise security заявила, что хакерская группа, как известно, привлекает свои цели в течение длительных периодов времени посредством серии доброжелательных бесед, чтобы завоевать доверие целей, используя различные псевдонимы, которые выдают себя за экспертов КНДР в аналитических центрах, академических кругах, журналистике и независимых исследованиях.
"Цели часто просят поделиться своими мыслями по этим темам по электронной почте или в официальном исследовательском документе", - сказали исследователи Proofpoint Грег Лесневич и Криста Гиринг.
"Вредоносное ПО или сбор учетных данных никогда не отправляются целям напрямую без обмена несколькими сообщениями и [...] редко используются субъектом угрозы. Возможно, что TA427 может выполнить свои разведывательные требования, напрямую запрашивая у целей их мнения или анализ, а не используя заражение. "
Компания также отметила, что многие организации, которые подделал TA427, либо не включали, либо не применяли политики DMARC, что позволяет таким сообщениям электронной почты обходить проверки безопасности и обеспечивать доставку, даже если эти проверки не удались.
Кроме того, было замечено, что Кимсуки использует "бесплатные адреса электронной почты, подделывающие имя того же человека в поле для ответа, чтобы убедить цель, что они работают с законным персоналом".
В одном электронном письме, выделенном правительством США, злоумышленник выдавал себя за законного журналиста, добивающегося интервью у неназванного эксперта для обсуждения планов Северной Кореи по ядерному вооружению, но открыто отмечал, что его учетная запись электронной почты будет временно заблокирована, и призывал получателя ответить им по их личной электронной почте, которая была поддельной учетной записью, имитирующей журналиста.
Это указывает на то, что фишинговое сообщение изначально было отправлено со скомпрометированной учетной записи журналиста, что увеличивает шансы того, что жертва ответит на альтернативную поддельную учетную запись.
Организациям рекомендуется обновить свои политики DMARC, чтобы дать указание своим почтовым серверам рассматривать сообщения электронной почты, не прошедшие проверку, как подозрительные или спам (т.е. Помещать в карантин или отклонять), и получать сводные отчеты об обратной связи, указав адрес электронной почты в записи DMARC.
Совместный бюллетень был опубликован Агентством национальной безопасности (АНБ), Федеральным бюро расследований (ФБР) и Государственным департаментом.
"КНДР [Корейская Народно-Демократическая Республика] использует эти фишинговые кампании для сбора разведданных о геополитических событиях, внешнеполитических стратегиях противника и любой информации, затрагивающей интересы КНДР, путем получения незаконного доступа к частным документам, исследованиям и коммуникациям целей", - сказали в АНБ.
Этот метод конкретно касается использования неправильно настроенных политик аутентификации сообщений на основе домена DNS, отчетности и соответствия (DMARC) для сокрытия попыток социальной инженерии. При этом субъекты угрозы могут отправлять поддельные электронные письма, как если бы они были отправлены с почтового сервера законного домена.
Злоупотребление слабыми политиками DMARC приписывается северокорейскому кластеру активности, отслеживаемому сообществом кибербезопасности под названием Kimsuky (он же APT43, Black Banshee, Emerald Sleet, Springtail, TA427 и Velvet Chollima), который является сестринским коллективом Lazarus Group и связан с Генеральным бюро разведки (RGB).
В отчете, опубликованном в прошлом месяце, Proofpoint говорится, что Кимсуки начал внедрять этот метод в декабре 2023 года в рамках более широких усилий по привлечению экспертов по внешней политике к их мнениям по темам, связанным с ядерным разоружением, политикой США и Южной Кореи и санкциями.
Описывая противника как "опытного эксперта по социальной инженерии", компания Enterprise security заявила, что хакерская группа, как известно, привлекает свои цели в течение длительных периодов времени посредством серии доброжелательных бесед, чтобы завоевать доверие целей, используя различные псевдонимы, которые выдают себя за экспертов КНДР в аналитических центрах, академических кругах, журналистике и независимых исследованиях.
"Цели часто просят поделиться своими мыслями по этим темам по электронной почте или в официальном исследовательском документе", - сказали исследователи Proofpoint Грег Лесневич и Криста Гиринг.
"Вредоносное ПО или сбор учетных данных никогда не отправляются целям напрямую без обмена несколькими сообщениями и [...] редко используются субъектом угрозы. Возможно, что TA427 может выполнить свои разведывательные требования, напрямую запрашивая у целей их мнения или анализ, а не используя заражение. "
Компания также отметила, что многие организации, которые подделал TA427, либо не включали, либо не применяли политики DMARC, что позволяет таким сообщениям электронной почты обходить проверки безопасности и обеспечивать доставку, даже если эти проверки не удались.
Кроме того, было замечено, что Кимсуки использует "бесплатные адреса электронной почты, подделывающие имя того же человека в поле для ответа, чтобы убедить цель, что они работают с законным персоналом".
В одном электронном письме, выделенном правительством США, злоумышленник выдавал себя за законного журналиста, добивающегося интервью у неназванного эксперта для обсуждения планов Северной Кореи по ядерному вооружению, но открыто отмечал, что его учетная запись электронной почты будет временно заблокирована, и призывал получателя ответить им по их личной электронной почте, которая была поддельной учетной записью, имитирующей журналиста.
Это указывает на то, что фишинговое сообщение изначально было отправлено со скомпрометированной учетной записи журналиста, что увеличивает шансы того, что жертва ответит на альтернативную поддельную учетную запись.
Организациям рекомендуется обновить свои политики DMARC, чтобы дать указание своим почтовым серверам рассматривать сообщения электронной почты, не прошедшие проверку, как подозрительные или спам (т.е. Помещать в карантин или отклонять), и получать сводные отчеты об обратной связи, указав адрес электронной почты в записи DMARC.
