03 de mayo de 2024Sala de prensaSeguridad del correo electrónico/malware El gobierno de EE. UU. publicó el jueves un nuevo aviso de seguridad cibernética advirtiendo sobre los intentos de los actores de amenazas norcoreanos de enviar correos electrónicos de una manera que los haga parecer como si procedieran de partes legítimas y confiables. El boletín conjunto fue publicado por la Agencia de Seguridad Nacional (NSA), la Oficina Federal de Investigaciones (FBI) y el Departamento de Estado. «La RPDC [Democratic People’s Republic of Korea] aprovecha estas campañas de phishing para recopilar inteligencia sobre eventos geopolíticos, estrategias de política exterior del adversario y cualquier información que afecte los intereses de la RPDC al obtener acceso ilícito a documentos privados, investigaciones y comunicaciones de los objetivos», dijo la NSA. La técnica se refiere específicamente a la explotación inadecuada configuró políticas de registro de autenticación, informes y conformidad de mensajes basados ​​en dominios DNS (DMARC) para ocultar intentos de ingeniería social. Al hacerlo, los actores de amenazas pueden enviar correos electrónicos falsificados como si fueran del servidor de correo electrónico de un dominio legítimo. Las políticas se han atribuido a un grupo de actividades de Corea del Norte rastreado por la comunidad de ciberseguridad bajo el nombre de Kimsuky (también conocido como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 y Velvet Chollima), que es un colectivo hermano del Grupo Lazarus y está afiliado. con la Oficina General de Reconocimiento (RGB), Proofpoint, en un informe publicado el mes pasado, dijo que Kimsuky comenzó a incorporar este método en diciembre de 2023 como parte de esfuerzos más amplios para atacar a los expertos en política exterior por sus opiniones sobre temas relacionados con el desarme nuclear de Estados Unidos. -Políticas y sanciones de Corea del Sur. Al describir al adversario como un «experto en ingeniería social», la firma de seguridad empresarial dijo que se sabe que el grupo de piratas informáticos ataca a sus objetivos durante períodos prolongados a través de una serie de conversaciones benignas para generar confianza en ellos utilizando varios alias que se hacen pasar por temas de la RPDC. expertos en think tanks, academia, periodismo e investigación independiente. «A menudo se solicita a los objetivos que compartan sus opiniones sobre estos temas por correo electrónico o en un artículo o trabajo de investigación formal», dijeron los investigadores de Proofpoint Greg Lesnewich y Crista Giering. «El malware o la recolección de credenciales nunca se envían directamente a los objetivos sin un intercambio de múltiples mensajes, y […] rara vez utilizado por el actor de amenazas. Es posible que TA427 pueda cumplir con sus requisitos de inteligencia pidiendo directamente a los objetivos sus opiniones o análisis en lugar de una infección». La compañía también señaló que muchas de las entidades que TA427 ha falsificado no habilitaron ni hicieron cumplir las políticas DMARC, lo que permitió dichos mensajes de correo electrónico para eludir los controles de seguridad y garantizar la entrega incluso si esos controles fallan. Además, se ha observado que Kimsuky utiliza «direcciones de correo electrónico gratuitas que suplantan a la misma persona en el campo de respuesta para convencer al objetivo de que están interactuando con personal legítimo». » En un correo electrónico destacado por el gobierno de EE. UU., el actor de amenazas se hizo pasar por un periodista legítimo que buscaba una entrevista de un experto anónimo para discutir los planes de armamento nuclear de Corea del Norte, pero señaló abiertamente que su cuenta de correo electrónico sería bloqueada temporalmente e instó al destinatario a responder. en su correo electrónico personal, que era una cuenta falsa que imitaba al periodista. Esto indica que el mensaje de phishing se envió originalmente desde la cuenta comprometida del periodista, aumentando así las posibilidades de que la víctima respondiera a la cuenta falsa alternativa. Se recomienda a las organizaciones actualizar sus políticas DMARC para instruir a sus servidores de correo electrónico a tratar los mensajes de correo electrónico que no pasan las comprobaciones como sospechosos o spam (es decir, ponerlos en cuarentena o rechazarlos) y recibir informes de comentarios agregados configurando una dirección de correo electrónico en el registro DMARC. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.