O governo dos EUA publicou na quinta-feira um novo alerta de segurança cibernética sobre as tentativas dos agentes de ameaças norte-coreanos de enviar e-mails de uma maneira que os faça parecer que são de partes legítimas e confiáveis.
O boletim conjunto foi publicado pela Agência de Segurança Nacional (NSA), pelo Federal Bureau of Investigation (FBI) e pelo Departamento de Estado.
“A RPDC (República In style Democrática da Coreia) aproveita estas campanhas de spear-phishing para recolher informações sobre eventos geopolíticos, estratégias de política externa adversárias e qualquer informação que afete os interesses da RPDC, obtendo acesso ilícito a documentos privados, pesquisas e comunicações dos alvos”, ANS disse.
A técnica diz respeito especificamente à exploração de políticas de registro de autenticação, relatório e conformidade de mensagens baseadas em domínio DNS (DMARC) configuradas incorretamente para ocultar tentativas de engenharia social. Ao fazer isso, os agentes da ameaça podem enviar e-mails falsificados como se fossem de um servidor de e-mail de domínio legítimo.
O abuso de políticas fracas do DMARC foi atribuído a um cluster de atividades norte-coreano rastreado pela comunidade de segurança cibernética sob o nome Kimsuky (também conhecido como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 e Velvet Chollima), que é um coletivo irmão do Grupo Lazarus e é afiliado ao Reconnaissance Basic Bureau (RGB).
A Proofpoint, num relatório publicado no mês passado, disse que Kimsuky começou a incorporar este método em Dezembro de 2023 como parte de esforços mais amplos para atingir especialistas em política externa para as suas opiniões sobre tópicos relacionados com o desarmamento nuclear, políticas EUA-Coreia do Sul e sanções.
Descrevendo o adversário como um “especialista experiente em engenharia social”, a empresa de segurança corporativa disse que o grupo de hackers é conhecido por envolver seus alvos por longos períodos de tempo por meio de uma série de conversas benignas para construir confiança com os alvos usando vários pseudônimos que se fazem passar pelo assunto da RPDC. especialistas em suppose tanks, academia, jornalismo e pesquisa independente.
“Os alvos são frequentemente solicitados a compartilhar suas idéias sobre esses tópicos por e-mail ou por meio de um documento ou artigo de pesquisa formal”, disseram os pesquisadores da Proofpoint, Greg Lesnewich e Crista Giering.
“O malware ou a coleta de credenciais nunca são enviados diretamente aos alvos sem uma troca de mensagens múltiplas e (…) raramente utilizados pelo ator da ameaça. É possível que o TA427 possa cumprir seus requisitos de inteligência pedindo diretamente aos alvos suas opiniões ou análise e não de uma infecção.”
A empresa também observou que muitas das entidades que o TA427 falsificou não habilitaram ou aplicaram políticas DMARC, permitindo assim que tais mensagens de e-mail contornassem as verificações de segurança e garantissem a entrega mesmo se essas verificações falhassem.
Além disso, Kimsuky foi observado usando “endereços de e-mail gratuitos falsificando a mesma pessoa no campo de resposta para convencer o alvo de que está interagindo com pessoal legítimo”.
Num e-mail destacado pelo governo dos EUA, o autor da ameaça fez-se passar por um jornalista legítimo que procurava uma entrevista com um especialista não identificado para discutir os planos de armamento nuclear da Coreia do Norte, mas observou abertamente que a sua conta de e-mail seria bloqueada temporariamente e instou o destinatário a responder a eles em seu e-mail pessoal, que period uma conta falsa que imitava o jornalista.
Isto indica que a mensagem de phishing foi originalmente enviada da conta comprometida do jornalista, aumentando assim as hipóteses de a vítima responder à conta falsa alternativa.
Recomenda-se que as organizações atualizem suas políticas DMARC para instruir seus servidores de e-mail a tratar mensagens de e-mail que falhem nas verificações como suspeitas ou spam (ou seja, quarentena ou rejeição) e recebam relatórios de suggestions agregados configurando um endereço de e-mail no registro DMARC.
