O governo dos EUA publicou nesta quinta-feira um novo aviso de cibersegurança alertando sobre as tentativas de atores de ameaça da Coreia do Norte de enviar emails de uma maneira que os faça parecer como se fossem de partes legítimas e confiáveis.
O boletim conjunto foi publicado pela Agência de Segurança Nacional (NSA), o Federal Bureau of Investigation (FBI) e o Departamento de Estado.
"A RPDC [República Popular Democrática da Coreia] utiliza essas campanhas de spear-phishing para coletar inteligência sobre eventos geopolíticos, estratégias de política externa dos adversários e qualquer informação que afete os interesses da RPDC, obtendo acesso ilícito a documentos privados, pesquisas e comunicações dos alvos", disse a NSA.
A técnica diz respeito especificamente à exploração de políticas de registros DMARC (Domain-based Message Authentication, Reporting, and Conformance) configuradas inadequadamente para ocultar tentativas de engenharia social.
Ao fazer isso, os atores de ameaça podem enviar emails falsificados como se fossem de um servidor de email de domínio legítimo.
O abuso de políticas DMARC fracas foi atribuído a um cluster de atividades norte-coreano rastreado pela comunidade de cibersegurança sob o nome Kimsuky (também conhecido como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 e Velvet Chollima), que é um coletivo irmão do Grupo Lazarus e é afiliado ao Bureau Geral de Reconhecimento (RGB).
A Proofpoint, em um relatório publicado no mês passado, disse que o Kimsuky começou a incorporar esse método em dezembro de 2023 como parte de esforços mais amplos para visar especialistas em política externa para suas opiniões sobre tópicos relacionados ao desarmamento nuclear, políticas EUA-Coreia do Sul e sanções.
Descrevendo o adversário como um "expert em engenharia social astuto", a firma de segurança empresarial disse que o grupo de hackers é conhecido por envolver seus alvos por períodos prolongados através de uma série de conversas benignas para construir confiança com os alvos usando vários alias que se passam por especialistas em assuntos da RPDC em think tanks, academia, jornalismo e pesquisa independente.
"Os alvos são frequentemente solicitados a compartilhar seus pensamentos sobre esses tópicos por email ou um artigo de pesquisa ou artigo formal", disseram os pesquisadores da Proofpoint, Greg Lesnewich e Crista Giering.
Malware ou colheita de credenciais nunca são enviados diretamente aos alvos sem uma troca de múltiplas mensagens, e são raramente utilizados pelo ator de ameaça.
É possível que o TA427 possa cumprir seus requisitos de inteligência simplesmente pedindo diretamente aos alvos suas opiniões ou análises, em vez de a partir de uma infecção.
A empresa também observou que muitas das entidades que o TA427 falsificou ou não habilitaram ou não impuseram políticas de DMARC, permitindo assim que tais mensagens de email contornassem as verificações de segurança e garantissem a entrega mesmo se essas verificações falhassem.
Além disso, observou-se que o Kimsuky usava "endereços de email gratuitos falsificando a mesma persona no campo de resposta para convencer o alvo de que eles estão engajando com pessoal legítimo."
Em um email destacado pelo governo dos EUA, o ator de ameaça se passou por um jornalista legítimo procurando uma entrevista de um especialista não nomeado para discutir os planos de armamento nuclear da Coreia do Norte, mas abertamente notou que sua conta de email seria bloqueada temporariamente e instou o destinatário a responder a eles em seu email pessoal, que era uma conta falsa imitando o jornalista.
Isso indica que a mensagem de phishing foi originalmente enviada da conta comprometida do jornalista, aumentando assim as chances de que a vítima respondesse à conta falsa alternativa.
Recomenda-se que as organizações atualizem suas políticas de DMARC para instruir seus servidores de email a tratar mensagens de email que falhem nas verificações como suspeitas ou spam (ou seja, colocar em quarentena ou rejeitar) e receber relatórios de feedback agregado configurando um endereço de email no registro DMARC.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...