Την Πέμπτη, η αμερικανική κυβέρνηση εξέδωσε μια ενημερωτική προειδοποίηση σχετικά με την κυβερνοασφάλεια, προειδοποιώντας για επιθέσεις από χάκερς της Βόρειας Κορέας, οι οποίοι επιχειρούν να αποστείλουν phishing emails, διαμορφωμένα έτσι ώστε να φαίνονται σαν να λαμβάνονται από νόμιμες και αξιόπιστες πηγές.

Δείτε επίσης: Η κυβέρνηση της Μολδαβίας χτυπήθηκε από τη NoName Ransomware

“Η Λαϊκή Δημοκρατία της Κορέας (ΛΔΚ) εκμεταλλεύεται τις εκστρατείες phishing για να αποκτήσει παράνομα πρόσβαση και να συλλέξει σημαντικές πληροφορίες που αφορούν γεωπολιτικά γεγονότα, στρατηγικές εξωτερικής πολιτικής αντιπάλων, καθώς και οποιαδήποτε δεδομένα μπορεί να επηρεάσουν τα εθνικά συμφέροντα της ΛΔΚ, μέσω της παράνομης πρόσβασης σε ιδιωτικά έγγραφα, έρευνες και επικοινωνίες,” δήλωσε η NSA.

Η τεχνική αυτή αναφέρεται στη χρήση πολιτικών εγγραφής ελέγχου ταυτότητας, αναφοράς και εναρμόνισης μηνυμάτων με βάση τον τομέα DNS, οι οποίες δεν έχουν ρυθμιστεί ορθά για να αποκρύπτουν προσπάθειες κοινωνικής μηχανικής. Οι χάκερς λοιπόν, μπορούν να αποστέλλουν ψεύτικα emails, τα οποία προέρχονται από νόμιμο διακομιστή email.

Η ανεπαρκής χρήση αδύναμων πολιτικών DMARC έχει συνδεθεί με ενέργειες της Βόρειας Κορέας, τις οποίες παρακολουθεί η κοινότητα κυβερνοασφάλειας υπό το όνομα Kimsuky (επίσης γνωστό ως APT43, Black Banshee, Emerald Sleet, Springtail, TA427 και Velvet Chollima). Αυτή η ομάδα, συνδεδεμένη με τον Όμιλο Lazarus και το Γενικό Γραφείο Αναγνώρισης (RGB), αποτελεί μια κρίσιμη απειλή στο πεδίο της κυβερνοασφάλειας.

Σε μια πρόσφατη έκθεση της Proofpoint, αναφέρθηκε ότι ο Kimsuky ξεκίνησε τον Δεκέμβριο του 2023 να εφαρμόζει μια νέα τακτική, στο πλαίσιο μιας ευρύτερης στρατηγικής με σκοπό την εστίαση σε ειδικούς εξωτερικής πολιτικής. Ο στόχος ήταν η απόκτηση πληροφοριών και απόψεων σχετικά με θέματα πυρηνικού αφοπλισμού, τις ΗΠΑ-Νότιας Κορέας σχέσεις και τις επιβληθείσες κυρώσεις.

Αποκαλώντας τον αντίπαλο “ειδικό της κοινωνικής μηχανικής”, η εταιρεία κυβερνοασφάλειας κατονόμασε την ομάδα hacking ως ειδικούς στο να εμπλέκονται με τους στόχους τους για μακροχρόνιες περιόδους, διεξάγοντας προσεκτικά σχεδιασμένες συνομιλίες για να κερδίσουν την εμπιστοσύνη των θυμάτων. Χρησιμοποιώντας μια ποικιλία από ψευδώνυμα, η ομάδα παρουσιάζεται ως εξπέρ σε αναλυτικά κέντρα, ακαδημαϊκούς κύκλους, τον τομέα της δημοσιογραφίας και την ανεξάρτητη έρευνα, με στόχο την ΛΔΚ.

«Οι στόχοι συχνά καλούνται να μοιραστούν τις απόψεις τους σχετικά με συγκεκριμένα θέματα, είτε μέσω email είτε μέσα από μια επίσημη ερευνητική εργασία ή άρθρο», ανέφεραν οι ερευνητές της Proofpoint, Greg Lesnewich και Crista Giering.

“Το κακόβουλο λογισμικό ή η απόκτηση διαπιστευτηρίων δεν ενσωματώνονται ποτέ απευθείας στους στόχους χωρίς να προηγηθεί σειρά ανταλλαγών μηνυμάτων και σπάνια είναι η επιλογή του παράγοντα απειλής. Φαίνεται πιθανό το TA427 να είναι σε θέση να ικανοποιεί τις ανάγκες του για πληροφορίες

ζητώντας απευθείας από τους στόχους τις απόψεις ή αναλύσεις τους, χωρίς την ανάγκη για μόλυνση.”

Η εταιρεία επεσήμανε επίσης ότι πολλές από τις οργανώσεις που στόχευσε το TA427 δεν είχαν ενεργοποιήσει ή εφάρμοσει τις πολιτικές DMARC, επιτρέποντας έτσι σε παραποιημένα email να παρακάμπτουν τα μέτρα ασφαλείας και να φτάνουν στον προορισμό τους ακόμα και σε περίπτωση αποτυχίας αυτών των ελέγχων.

Επιπρόσθετα, έχει παρατηρηθεί ότι η χάκινγκ συμμορία Kimsuky χρησιμοποιεί email διευθύνσεις, διαμορφώνοντάς τις έτσι ώστε να φαίνεται στο πεδίο απάντησης ότι προέρχονται από νόμιμα πρόσωπα, με σκοπό να πείσουν τον παραλήπτη για την αυθεντικότητα και να κερδίσουν την εμπιστοσύνη του.

Σε ένα email που επισημάνθηκε από την αμερικανική κυβέρνηση, ο δράστης της απειλής παρίστανε τον νόμιμο δημοσιογράφο, εκφράζοντας ενδιαφέρον για μια συνέντευξη με έναν ανώνυμο ειδικό σχετικά με τα πυρηνικά σχέδια της Βόρειας Κορέας. Ανέφερε όμως ότι ο λογαριασμός του email θα ήταν προσωρινά αποκλεισμένος, προτρέποντας τον παραλήπτη να ανταποκριθεί σε ένα προσωπικό email – το οποίο αποδείχθηκε να είναι ένας πλαστός λογαριασμός που μιμούνταν αυτόν του δημοσιογράφου.

Διαβάστε περισσότερα: Junk gun Ransomware: Νέα φθηνή απειλή για μικρές επιχειρήσεις

Αυτό σημαίνει ότι το μήνυμα phishing εστάλη αρχικά από τον παραβιασμένο λογαριασμό του δημοσιογράφου, θέτοντας έτσι τις βάσεις για αυξημένες πιθανότητες το θύμα να εμπιστευτεί και να απαντήσει στα ψεύτικα emails.

Προτείνεται στους οργανισμούς να αναβαθμίζουν τις πολιτικές DMARC τους, ώστε να δίνουν οδηγίες στους διακομιστές ηλεκτρονικού ταχυδρομείου να αντιμετωπίζουν τα emails που δεν περνούν τους ελέγχους ασφαλείας ως ύποπτα ή ανεπιθύμητα, αποφασίζοντας για την απομόνωση ή την απόρριψή τους. Επιπλέον, μέσω της ρύθμισης μιας διεύθυνσης email στην εγγραφή DMARC, μπορούν να λαμβάνουν συγκεντρωτικές αναφορές ανατροφοδότησης, βελτιώνοντας έτσι την ασφάλεια και τη διαχείριση των ηλεκτρονικών τους μηνυμάτων.

Πηγή: thehackernews