Kuzey Koreli Hackerlar E-postalarını Meşrulaştırmak İçin DMARC’yi Kötüye Kullanıyor


DMARC, e-posta sahteciliği ve kimlik avı girişimlerine karşı önleyici bir önlem görevi gördüğü için bilgisayar korsanları tarafından hedef alınır.

E-posta kimlik doğrulama protokollerinden kaçabilmek için DMARC’yi (Etki Alanı Tabanlı Mesaj Kimlik Doğrulama Raporlaması ve Uyumluluğu) tehlikeye atıyorlar, böylece gerçek gönderenleri taklit etmelerine ve alıcıları yanıltmalarına olanak tanıyorlar.

Bu şekilde para kazanmaya veya veri çalmaya yol açan daha akla yatkın ve avantajlı kimlik avı kampanyaları düzenleyebilirler.


ProofPoint’teki siber güvenlik araştırmacıları yakın zamanda Kuzey Koreli bilgisayar korsanlarının yasa dışı e-postalarını meşrulaştırmak için DMARC’yi aktif olarak kötüye kullandıklarını keşfetti.

DMARC Suistimal etmek

Proofpoint, Keşif Genel Bürosu için ABD ve Güney Kore dış politikası uzmanlarını hedef alan kimlik avı kampanyaları yürüten Kuzey Kore devleti bağlantılı TA427 grubunu (diğer adıyla Emerald Sleet, APT43, THALLIUM, Kimsuky) izliyor.

TA427, 2023’ten bu yana masum sohbet başlatıcı e-postalar aracılığıyla nükleer silahsızlanma, ABD-Kuzey Kore politikaları ve yaptırımlar hakkında dış politika uzmanlarından doğrudan görüş talep ediyor.

Free Live Webinarfor DIFR/SOC Teams: En İyi 3 KOBİ Siber Saldırı Vektörünün Güvenliğini Sağlama - Buradan Kayıt Olun.

Araştırmacılar bu aktivitenin istikrarlı ve bazen artan bir akışını gözlemlediler.

TA427 sürekli olarak sosyal mühendislik ve dönüşümlü e-posta altyapısına güvenirken, Aralık 2023’te kişi sahtekarlığına yönelik gevşek DMARC politikalarını kötüye kullanmaya başladı ve Şubat 2024’te hedef profil oluşturma için web işaretçileri ekledi.

TA427 kimlik avı kampanyalarının hacmi (Kaynak – ProofPoint)

TA427, muhtemelen ABD ve Güney Kore’nin dış politika girişimlerine ilişkin Kuzey Kore’nin stratejik istihbarat toplamasını destekleyen yetenekli bir sosyal mühendislik tehdit aktörüdür.

TA427, dönüşümlü takma adlar ve masum konuşmalar yoluyla uzun süreler boyunca hedeflerle etkileşime geçerek, özellikle dış politika müzakere taktikleri etrafında görüş ve analiz talep etmek için uyum oluşturur.

Özelleştirilmiş, zamanlı cezbedici içerikten yararlanan ve tanıdık Kuzey Kore araştırmacılarını taklit eden TA427, doğrudan kötü amaçlı yazılım veya kimlik bilgisi toplama hizmeti sunmak yerine hedeflerden e-posta, belge veya makale yoluyla düşüncelerini paylaşmalarını ister.

Bu doğrudan girdi yaklaşımı, TA427’nin istihbarat gereksinimlerini karşılayabilirken yazışma öngörüleri, ek katılım için gelecekteki hedeflemeyi ve bağlantı kurmayı geliştirebilir.

Amaç, müzakere stratejilerini bilgilendirmek için Kuzey Kore istihbaratını artırmak gibi görünüyor.

Uluslararası basın haberlerine dayalı gerçek dünyadaki olayların zaman çizelgesi (Kaynak – ProofPoint)

Onların cazibesi arasında Kuzey Kore meseleleriyle ilgili etkinliklere davetler, caydırıcılık politikaları, nükleer programlar ve olası çatışmalar hakkında perspektifler davet etmek yer alıyor.

Hedeflenen kişilerin e-posta adresleri ile işyerleri arasındaki konuşmaların taşınmasını içerir.

TA427, düşünce kuruluşları, sivil toplum kuruluşları (STK’lar), medya kuruluşları, eğitim kurumları ve devlet kurumlarının meşruiyet sağlamak için DMARC kötüye kullanımı, yazım hatası ve ücretsiz e-posta sahtekarlığından yararlanması nedeniyle kendisini çeşitli şekillerde maskeliyor

Uluslararası basın haberlerine dayalı gerçek dünyadaki olayların zaman çizelgesi (Kaynak – ProofPoint)

Şubat 2024’ün başlarındaki farklı bir taktik, web işaretçileri aracılığıyla kurbanın aktif e-postasının yanı sıra alıcı ortamı üzerinde keşif gerçekleştirir.

Proofpoint tarafından takip edilen en sık görülen aktörlerden biri, kâr maksimizasyonu yerine istihbarat amacıyla bilgi çalmak veya ilk erişim elde etmek için taktiksel olarak uzmanları hedef alacak şekilde işleyiş biçimini, altyapı unsurlarını ve hatta avatarlarını sürekli olarak uyarlayan TA427’dir.

IoC’ler

Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.



Source link