Hackers norte-coreanos falsificam e-mails

Hackers norte-coreanos falsificam e-mails
Compartilhe

O governo dos EUA emitiu um alerta de cibersegurança atualizado, chamando a atenção para as tentativas hackers da Coreia do Norte de enviar e-mails de forma a parecerem provenientes de entidades legítimas e confiáveis.

O aviso conjunto foi divulgado pela Agência de Segurança Nacional (NSA), o Federal Bureau of Investigation (FBI) e o Departamento de Estado.

Hackers norte-coreanos usando Engenharia Social

A NSA declarou que a RPDC (República Popular Democrática da Coreia) emprega essas campanhas de spear-phishing para reunir informações sobre eventos geopolíticos, estratégias de política externa de adversários e qualquer dado que possa impactar os interesses da RPDC, obtendo acesso não autorizado a documentos privados, pesquisas e comunicações dos alvos.

A técnica envolve especificamente a exploração de políticas de registros DMARC (Domain-based Message Authentication, Reporting, and Conformance) mal configuradas para ocultar tentativas de engenharia social.

Ao fazer isso, os agentes de ameaças são capazes de enviar e-mails fraudulentos como se fossem de um servidor de e-mail de domínio legítimo.

O mau uso de políticas DMARC fracas foi atribuído a um conjunto de atividades norte-coreanas rastreadas pela comunidade de cibersegurança sob o nome Kimsuky (também conhecido como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 e Velvet Chollima), que é um coletivo irmão do Grupo Lazarus e é afiliado ao Bureau Geral de Reconhecimento (RGB).

No mês passado, a Proofpoint publicou um relatório afirmando que o Kimsuky começou a adotar esse método em dezembro de 2023 como parte de esforços mais amplos para visar especialistas em política externa para suas opiniões sobre tópicos relacionados ao desarmamento nuclear, políticas EUA-Coreia do Sul e sanções.

A empresa de segurança corporativa descreveu o adversário como um “expert em engenharia social astuto”, afirmando que o grupo de hackers é conhecido por envolver seus alvos por períodos prolongados através de uma série de conversas benignas para construir confiança com os alvos usando vários pseudônimos que se passam por especialistas em assuntos da RPDC em think tanks, academia, jornalismo e pesquisa independente.

Os pesquisadores da Proofpoint, Greg Lesnewich e Crista Giering, observaram que os alvos são comumente convidados a expressar suas opiniões sobre esses tópicos por meio de e-mail ou um artigo de pesquisa formal.

Raramente o ator de ameaça utiliza malware ou colheita de credenciais, e nunca são enviados diretamente aos alvos sem uma série de trocas de mensagens.

Hackers norte-coreanos falsificam e-mails

TA427

O TA427 pode ser capaz de atender às suas necessidades de inteligência simplesmente solicitando diretamente aos alvos suas opiniões ou análises, em vez de recorrer a uma infecção.

A empresa também notou que muitas das entidades que o TA427 imitou não habilitaram ou não aplicaram políticas de DMARC, permitindo que tais e-mails contornassem as verificações de segurança e garantissem a entrega mesmo se essas verificações falhassem.

Além disso, foi observado que o Kimsuky usava “endereços de e-mail gratuitos, falsificando a mesma persona no campo de resposta para persuadir o alvo de que eles estão interagindo com pessoal legítimo.”

Em um e-mail destacado pelo governo dos EUA, o ator de ameaça se passou por um jornalista legítimo buscando uma entrevista com um especialista não identificado para discutir os planos de armamento nuclear da Coreia do Norte, mas notou abertamente que sua conta de e-mail seria temporariamente bloqueada e instou o destinatário a responder a eles em seu e-mail pessoal, que era uma conta falsa imitando o jornalista.

Isso sugere que a mensagem de phishing foi originalmente enviada da conta comprometida do jornalista, aumentando assim a probabilidade de que a vítima respondesse à conta falsa alternativa.

As organizações são aconselhadas a atualizar suas políticas de DMARC para instruir seus servidores de e-mail a tratar e-mails que falhem nas verificações como suspeitos ou spam (ou seja, colocar em quarentena ou rejeitar) e receber relatórios de feedback agregado configurando um endereço de e-mail no registro DMARC.