NSA ve FBI, APT43 Kuzey Kore bağlantılı bilgisayar korsanlığı grubunun hedef odaklı kimlik avı saldırılarını maskelemek için zayıf e-posta Etki Alanı Tabanlı Mesaj Kimlik Doğrulama Raporlama ve Uygunluk (DMARC) politikalarından yararlandığı konusunda uyardı.
ABD Dışişleri Bakanlığı ile birlikte iki kurum, saldırganların gazeteciler, akademisyenler ve Doğu Asya konularındaki diğer uzmanlar gibi güvenilir kaynaklardan geliyormuş gibi görünen sahte e-postalar göndermek için yanlış yapılandırılmış DMARC politikalarını kötüye kullandıkları konusunda uyardı.
NSA, “Kuzey Kore, hedeflerin özel belgelerine, araştırmalarına ve iletişimlerine yasa dışı erişim sağlayarak jeopolitik olaylar, düşman dış politika stratejileri ve Kuzey Kore’nin çıkarlarını etkileyen her türlü bilgi hakkında istihbarat toplamak için bu hedef odaklı kimlik avı kampanyalarından yararlanıyor” dedi.
Kuzey Kore’nin ana askeri istihbarat örgütü olan ABD onaylı Genel Keşif Bürosu (RGB), aynı zamanda Kimsuky, Emerald Sleet, Velvet Chollima, ve Black Banshee ve en az 2012’den beri aktif.
Amaç, Kuzey Kore’nin ulusal istihbarat hedeflerini desteklemek ve rejimin güvenliğine ve istikrarına yönelik algılanan herhangi bir siyasi, askeri veya ekonomik tehdidi engellemek için Amerika Birleşik Devletleri, Güney Kore ve diğer ilgili ülkeler hakkında güncel istihbarat tutmaktır.
NSA ve FBI’ın geçen yıl ilk kez ortaya çıkardığı gibi, APT43 görevlileri hedef odaklı kimlik avı kampanyaları için gazeteciler ve akademisyenler gibi davranarak 2018’den bu yana Amerika Birleşik Devletleri, Avrupa, Japonya ve Güney Kore’deki düşünce kuruluşlarını, araştırma merkezlerini, akademik kurumları ve medya kuruluşlarını hedef alıyor. .
Ajanslar ortak bir danışma belgesinde, “Kimsuky aktörlerinin birincil görevi, politika analistleri ve diğer uzmanlardan ödün vererek Kuzey Kore rejimine çalıntı veriler ve değerli jeopolitik bilgiler sağlamaktır.” [PDF] bu hafta yayınlandı.
“Başarılı tavizler, Kimsuky aktörlerinin daha güvenilir ve etkili hedef odaklı kimlik avı e-postaları oluşturmasına olanak tanıyor ve bu e-postalar daha hassas, daha yüksek değerli hedeflere karşı kullanılabilecek.”
Azaltıcı önlemler
Bu saldırılarda, eksik DMARC politikalarından veya “p=none” yapılandırmalarına sahip DMARC politikalarından yararlanarak, alıcı e-posta sunucusuna DMARC kontrollerini geçemeyen iletiler üzerinde herhangi bir işlem yapmamasını söylerler.
Bu, APT43’ün hedef odaklı kimlik avı e-postalarının, sosyal mühendislik ve daha önce güvenliği ihlal edilmiş içeriklerden yararlanarak hedeflerin posta kutularına ulaşmasını sağlar.
Bu tehdidi azaltmak için FBI, ABD Dışişleri Bakanlığı ve NSA, savunuculara kuruluşlarının DMARC güvenlik politikasını “v=DMARC1; p=quarantine;” kullanacak şekilde güncellemelerini tavsiye ediyor. veya “v=DMARC1; p=reddet;” konfigürasyonlar.
Birincisi, e-posta sunucularına DMARC’de başarısız olan e-postaları karantinaya almaları ve bunları potansiyel spam olarak etiketlemeleri talimatını verirken, ikincisi onlara DMARC kontrollerini geçemeyen tüm e-postaları engellemelerini söyler.
“Yazar ajanslar, DMARC politikasında ‘p’ alanını ayarlamanın yanı sıra, kuruluşların, kuruluşun etki alanından olduğu iddia edilen e-posta iletileri için DMARC sonuçları hakkında toplu raporlar almak üzere ‘rua’ gibi diğer DMARC politika alanlarını ayarlamalarını önermektedir.” katma.