NSA ve FBI, APT43 Kuzey Kore bağlantılı hackleme grubunun, Spearphing saldırılarını maskelemek için zayıf e-posta etki alanı tabanlı mesaj kimlik doğrulama raporlama ve uygunluk (DMARC) politikalarından yararlandığı konusunda uyardı.
ABD Dışişleri Bakanlığı ile birlikte, iki ajans, saldırganların kötüye kullanıldığı, gazeteciler, akademisyenler ve Doğu Asya işlerindeki diğer uzmanlardan gelen güvenilir kaynaklardan gelen sahte e -postalar göndermek için yanlış yapılandırılmış DMARC politikalarını yanlış yapılandırdığı konusunda uyardı.
NSA, "DPRK, jeopolitik olaylar, düşman dış politika stratejileri ve hedeflerin özel belgelerine, araştırmalarına ve iletişimlerine yasadışı erişim sağlayarak DPRK çıkarlarını etkileyen bilgileri toplamak için bu spearfishing kampanyalarından yararlanıyor." Dedi.
Kuzey Kore'nin ana askeri istihbarat örgütü olan Amerika Birleşik Devletleri tarafından onaylanan keşif Genel Bürosu (RGB), aynı zamanda kimsuky, zümrüt sleet, Velvet Chollima olarak da izlenen alt APT43 Devlet Tehdit Grubu tarafından koordine edilen çok çeşitli istihbarat toplama ve casusluk faaliyetlerinin arkasında. ve Black Banshee ve en az 2012'den beri aktif.
Amaç, Kuzey Kore'nin ulusal istihbarat hedeflerini desteklemek ve rejimin güvenliği ve istikrarı için algılanan siyasi, askeri veya ekonomik tehdidi engellemek için ABD, Güney Kore ve diğer ilgi alanlarında güncel zeka elde etmektir.
NSA ve FBI'ın geçen yıl ilk ortaya çıktığı gibi, APT43 operatörleri 2018'den beri düşünce kuruluşları, araştırma merkezleri, akademik kurumlar ve Güney Kore'deki medya kuruluşlarını hedefleyen gazetecileri ve akademisyenleri taklit ediyorlar. .
Bu hafta yayınlanan ajanslar, "Kimuky aktörlerinin birincil misyonu, politika analistlerinden ve diğer uzmanlardan ödün vererek Kuzey Kore rejimine çalınan veriler ve değerli jeopolitik içgörü sağlamaktır."
"Başarılı uzlaşmalar, Kimuky aktörlerinin daha güvenilir ve etkili spearfishing e-postaları oluşturmalarını sağlıyor, bu da daha hassas, daha yüksek değerli hedeflere karşı kullanılabilir."
Bu saldırılarda, alıcı e -posta sunucusunun DMARC kontrollerini başarısız olan mesajlarda hiçbir işlem yapmamasını söyleyen "P = Yok" yapılandırmalarıyla eksik DMARC politikalarından veya DMARC politikalarından yararlanırlar.
Bu, APT43'ün sosyal mühendislik ve daha önce tehlikeye atılan içeriği kullanan ve hedeflerin posta kutularına ulaşmak için içeriği kullanan sözcüklendirilmiş e -postaları sağlar.
Bu tehdidi azaltmak için, FBI, ABD Dışişleri Bakanlığı ve NSA, savunuculara kuruluşlarının DMARC güvenlik politikasını "V = DMARC1; P = karantina" kullanmaları için güncellemelerini tavsiye eder; veya "V = DMARC1; P = Reddet;" yapılandırmalar.
Birincisi, e -posta sunucularına DMARC başarısız olan ve potansiyel spam olarak etiketleyen e -postaları karantinaya çıkarırken, ikincisi DMARC kontrollerini başarısız olan tüm e -postaları engellemelerini söyler.
"DMARC politikasında 'P' alanını ayarlamanın yanı sıra, yazarlık ajansları, kuruluşların kuruluşun alanından iddia edilen e -posta mesajları için DMARC sonuçları hakkında toplu raporlar almak için 'RUA' gibi diğer DMARC politika alanlarını belirlemelerini öneriyor." katma.
İranlı korsanlar, arka kapı kötü amaçlı yazılımları zorlamak için gazeteci olarak poz verir
Hackerlar, Guptiminer kötü amaçlı yazılımları bırakmak için antivirüs güncellemelerini ele geçiriyor
Arcanedoor Hacker'lar Govt ağlarını ihlal etmek için Cisco sıfır günlerini sömürüyor
DPRK Hacking Grupları Güney Kore Savunma Müteahhitlerini İhlal
Fin7, kimlik avı saldırılarında Amerikan otomobil üreticisinin BT personelini hedefliyor
Kaynak: Bleeping Computer