El gobierno de Estados Unidos publicó el jueves un nuevo aviso de seguridad cibernética advirtiendo sobre los intentos de los actores de amenazas norcoreanos de enviar correos electrónicos de una manera que parezca que provienen de partes legítimas y confiables.
El boletín conjunto fue publicado por la Agencia de Seguridad Nacional (NSA), la Oficina Federal de Investigaciones (FBI) y el Departamento de Estado.
«La RPDC [Democratic People’s Republic of Korea] aprovecha estas campañas de phishing para recopilar inteligencia sobre eventos geopolíticos, estrategias de política exterior del adversario y cualquier información que afecte los intereses de la RPDC al obtener acceso ilícito a documentos privados, investigaciones y comunicaciones de los objetivos», NSA dicho.
La técnica se refiere específicamente a la explotación de la autenticación, informes y conformidad de mensajes basados en dominios DNS configurados incorrectamente (DMARC) registrar políticas para ocultar intentos de ingeniería social. Al hacerlo, los actores de amenazas pueden enviar correos electrónicos falsificados como si fueran del servidor de correo electrónico de un dominio legítimo.
El abuso de las débiles políticas DMARC se ha atribuido a un grupo de actividades de Corea del Norte rastreado por la comunidad de ciberseguridad bajo el nombre Kimsuky (también conocido como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 y Velvet Chollima), que es un colectivo hermano del Grupo Lazarus y está afiliado a la Oficina General de Reconocimiento (RGB).
Punto de prueba, en un informe publicado el mes pasado, dijo que Kimsuky comenzó a incorporar este método en diciembre de 2023 como parte de esfuerzos más amplios para dirigirse a los expertos en política exterior por sus opiniones sobre temas relacionados con el desarme nuclear, las políticas y sanciones entre Estados Unidos y Corea del Sur.
Al describir al adversario como un «experto en ingeniería social», la firma de seguridad empresarial dijo que se sabe que el grupo de piratas informáticos ataca a sus objetivos durante largos períodos de tiempo a través de una serie de conversaciones benignas para generar confianza con los objetivos utilizando varios alias que se hacen pasar por temas de la RPDC. expertos en think tanks, academia, periodismo e investigación independiente.
«A menudo se solicita a los objetivos que compartan sus opiniones sobre estos temas por correo electrónico o en un artículo o trabajo de investigación formal», dijeron los investigadores de Proofpoint Greg Lesnewich y Crista Giering.
«El malware o la recolección de credenciales nunca se envían directamente a los objetivos sin un intercambio de múltiples mensajes, y […] rara vez utilizado por el actor de amenazas. Es posible que TA427 pueda cumplir sus requisitos de inteligencia pidiendo directamente a los objetivos sus opiniones o análisis en lugar de una infección».
La compañía también señaló que muchas de las entidades que TA427 ha falsificado no habilitaron ni hicieron cumplir las políticas DMARC, lo que permitió que dichos mensajes de correo electrónico eludieran los controles de seguridad y garantizaran la entrega incluso si esos controles fallan.
Además, se ha observado que Kimsuky utiliza «direcciones de correo electrónico gratuitas que suplantan a la misma persona en el campo de respuesta para convencer al objetivo de que están interactuando con personal legítimo».
En un correo electrónico destacado por el gobierno de EE. UU., el actor de amenazas se hizo pasar por un periodista legítimo que buscaba una entrevista de un experto anónimo para discutir los planes de armamento nuclear de Corea del Norte, pero señaló abiertamente que su cuenta de correo electrónico sería bloqueada temporalmente e instó al destinatario a responder a en su correo electrónico personal, que era una cuenta falsa que imitaba al periodista.
Esto indica que el mensaje de phishing se envió originalmente desde la cuenta comprometida del periodista, aumentando así las posibilidades de que la víctima responda a la cuenta falsa alternativa.
Se recomienda a las organizaciones que actualicen sus políticas DMARC para instruir a sus servidores de correo electrónico a tratar los mensajes de correo electrónico que no pasan las comprobaciones como sospechosos o spam (es decir, poner en cuarentena o rechazar) y recibir informes de comentarios agregados configurando una dirección de correo electrónico en el Registro DMARC.