De Amerikaanse regering heeft donderdag een nieuwe cybersecurity-waarschuwing gepubliceerd voor de pogingen van Noord-Koreaanse dreigingsactoren om e-mails te verzenden op een manier waardoor het lijkt alsof ze afkomstig zijn van legitieme en vertrouwde partijen.
Het gezamenlijke bulletin werd gepubliceerd door de National Security Agency (NSA), het Federal Bureau of Investigation (FBI) en het ministerie van Buitenlandse Zaken.
“De DVK (Democratische Volksrepubliek Korea) maakt gebruik van deze spearphishing-campagnes om inlichtingen te verzamelen over geopolitieke gebeurtenissen, vijandige buitenlandse beleidsstrategieën en alle informatie die de belangen van de DVK schaadt, door illegale toegang te verkrijgen tot privédocumenten, onderzoek en communicatie van de doelwitten,” aldus de NSA.
De techniek heeft specifiek betrekking op het misbruiken van onjuist geconfigureerd DNS Domain-based Message Authentication, Reporting, and Conformance (DMARC)-recordbeleid om pogingen tot social engineering te verbergen. Door dit te doen, kunnen de bedreigingsactoren vervalste e-mails verzenden alsof ze afkomstig zijn van de e-mailserver van een legitiem domein.
Het misbruik van zwak DMARC-beleid wordt toegeschreven aan een Noord-Koreaans activiteitencluster dat door de cyberbeveiligingsgemeenschap wordt gevolgd onder de naam Kimsuky (ook bekend als APT43, Black Banshee, Emerald Sleet, Springtail, TA427 en Velvet Chollima), een zustercollectief van de Lazarus Group en is aangesloten bij het Reconnaissance General Bureau (RGB).
Proofpoint zei in een vorige maand gepubliceerd rapport dat Kimsuky deze methode in december 2023 begon te integreren als onderdeel van bredere inspanningen om deskundigen op het gebied van buitenlands beleid te benaderen voor hun mening over onderwerpen die verband houden met nucleaire ontwapening, het beleid tussen de VS en Zuid-Korea en sancties.
Het bedrijfsbeveiligingsbedrijf omschreef de tegenstander als een ‘slimme social engineering-expert’ en zei dat het bekend is dat de hackgroep zijn doelwitten voor langere tijd aanspreekt via een reeks goedaardige gesprekken om vertrouwen op te bouwen met doelwitten, waarbij ze verschillende aliassen gebruiken die het onderwerp van de DVK nabootsen. experts op het gebied van denktanks, de academische wereld, journalistiek en onafhankelijk onderzoek.
“Targets worden vaak gevraagd om hun mening over deze onderwerpen te delen via e-mail of een formeel onderzoekspaper of artikel”, aldus Proofpoint-onderzoekers Greg Lesnewich en Crista Giering.
“Malware of het verzamelen van inloggegevens worden nooit rechtstreeks naar de doelen gestuurd zonder een uitwisseling van meerdere berichten, en (…) zelden gebruikt door de dreigingsactor. Het is mogelijk dat TA427 aan zijn inlichtingenvereisten kan voldoen door doelen direct om hun mening te vragen of analyse in plaats van een infectie.”
Het bedrijf merkte ook op dat veel van de entiteiten die TA427 heeft vervalst het DMARC-beleid niet hebben ingeschakeld of afgedwongen, waardoor dergelijke e-mailberichten de veiligheidscontroles konden omzeilen en de bezorging konden garanderen, zelfs als deze controles mislukken.
Bovendien is waargenomen dat Kimsuky “gratis e-mailadressen gebruikt die dezelfde persona voor de gek houden in het antwoordveld om het doelwit ervan te overtuigen dat ze in contact komen met legitiem personeel.”
In een e-mail die door de Amerikaanse regering werd benadrukt, deed de bedreigingsacteur zich voor als een legitieme journalist die op zoek was naar een interview met een niet bij naam genoemde expert om de nucleaire bewapeningsplannen van Noord-Korea te bespreken, maar merkte hij openlijk op dat hun e-mailaccount tijdelijk zou worden geblokkeerd en drong hij er bij de ontvanger op aan te reageren. ze op hun persoonlijke e-mail, een nepaccount dat de journalist nabootste.
Dit geeft aan dat het phishingbericht oorspronkelijk werd verzonden vanaf het gecompromitteerde account van de journalist, waardoor de kans groter werd dat het slachtoffer zou reageren op het alternatieve nepaccount.
Organisaties wordt aanbevolen om hun DMARC-beleid bij te werken om hun e-mailservers te instrueren om e-mailberichten die de controles niet doorstaan, als verdacht of spam te behandelen (dat wil zeggen in quarantaine plaatsen of weigeren) en om verzamelde feedbackrapporten te ontvangen door een e-mailadres in te stellen in het DMARC-record.