El gobierno de EE. UU. ha publicado un nuevo aviso de ciberseguridad que advierte sobre los intentos de actores de amenaza norcoreanos de enviar correos electrónicos que parecen provenir de partes legítimas y de confianza. El boletín conjunto fue publicado por la Agencia de Seguridad Nacional (NSA), el Buró Federal de Investigaciones (FBI) y el Departamento de Estado.
La NSA mencionó que «La RPDC [República Popular Democrática de Corea] utiliza estas campañas de spear-phishing para recopilar inteligencia sobre eventos geopolíticos, estrategias de política exterior adversaria y cualquier información que afecte los intereses de la RPDC al obtener acceso ilícito a documentos privados, investigaciones y comunicaciones de los objetivos».
Esta técnica se refiere específicamente a la explotación de políticas de registro DNS Domain-based Message Authentication, Reporting, and Conformance (DMARC) mal configuradas para ocultar intentos de ingeniería social. De esta manera, los actores de amenaza pueden enviar correos electrónicos falsificados como si provinieran del servidor de correo electrónico de un dominio legítimo.
El abuso de políticas DMARC débiles ha sido atribuido a un grupo de actividad norcoreano rastreado por la comunidad de ciberseguridad bajo el nombre de Kimsuky. Este grupo es conocido por involucrar a sus objetivos durante períodos prolongados a través de una serie de conversaciones benignas para construir confianza.
Proofpoint, en un informe publicado el mes pasado, dijo que Kimsuky comenzó a usar este método en diciembre de 2023 como parte de esfuerzos más amplios para apuntar a expertos en política exterior para obtener sus opiniones sobre temas relacionados con el desarme nuclear, las políticas entre EE. UU. y Corea del Sur y las sanciones.
La compañía también señaló que muchas de las entidades que TA427 ha falsificado no habilitaron ni impusieron políticas DMARC, lo que permite que dichos mensajes de correo electrónico eviten las verificaciones de seguridad y se aseguren de que se entreguen aunque esas verificaciones fallen.
En un correo electrónico destacado por el gobierno de EE. UU., el actor de amenaza se hizo pasar por un periodista legítimo que buscaba una entrevista de un experto no identificado para discutir los planes de armamento nuclear de Corea del Norte, pero notó abiertamente que su cuenta de correo electrónico se bloquearía temporalmente, y urgió al destinatario a responder en su correo electrónico personal, que era una cuenta falsa que imitaba al periodista.
Se recomienda a las organizaciones actualizar sus políticas DMARC para instruir a sus servidores de correo electrónico para tratar los mensajes de correo electrónico que no superen las verificaciones como sospechosos o spam (es decir, cuarentena o rechazo) y recibir informes de retroalimentación agregada configurando una dirección de correo electrónico en el registro DMARC.
Vía The Hacker News
