Il gruppo di hacker nordcoreani Kimsuky non è nuovo al mondo informatico. Questo gruppo altamente sofisticato di attori delle minacce è di nuovo attivo e ora prende di mira i domini con politiche DMARC permissive per lanciare attacchi di phishing altamente mirati.
Kimsuky ha sempre fatto leva su tattiche di social engineering, spesso utilizzando l'e-mail come mezzo per iniziare gli attacchi. Tuttavia, negli ultimi attacchi, ha cambiato le cose sfruttando i criteri DMARC che non offrono alcuna protezione. Ciò evidenzia la necessità di applicazione del DMARC DMARC, rendendole centrali per la sicurezza di un'organizzazione.
Il 2 maggio 2024, il Federal Bureau of Investigation (FBI), il Dipartimento di Stato degli Stati Uniti e l'Agenzia per la Sicurezza Nazionale (NSA) hanno emesso un avviso congiunto che mette in guardia da Kimsuky che sfrutta le politiche DMARC permissive per lanciare attacchi di spearphishing. Approfondiamo!
Breve storia di Kimsuky
Il gruppo di hacker Kimsuky ha molti nomi: Velvet Chollima, Black Banshee e Emerald Sleet sono solo alcuni di questi. Con radici nella Corea del Nord, Kimsuky ha iniziato a lanciare attacchi di cyberspionaggio contro istituti di ricerca e di politica sudcoreani, operatori di energia nucleare e organismi ministeriali.
Sebbene questo gruppo di hacker sia attivo da oltre un decennio, di recente ha ampliato i propri orizzonti prendendo di mira organizzazioni in Russia, Stati Uniti ed Europa.
Attacchi popolari di Kimsuky segnalati in passato
- "Il primo del suo genere" Gli attacchi di Kimsuky risalgono al 2019.
- Kimsuky avrebbe rubato dati sensibili dall'operatore nucleare sudcoreano Korea Hydro & Nuclear Power nel marzo 2015.
- Nel settembre 2020, Kimsuky ha preso di mira 11 funzionari del Consiglio di Sicurezza delle Nazioni Unite, tentando di hackerarli.
Kimsuky sfrutta le politiche DMARC allentate negli attacchi di phishing del 2024
Il vostro Criterio DMARC è un campo obbligatorio del record DMARC che determina l'azione intrapresa dal lato client per i messaggi che non superano il DMARC. Il criterio DMARC può indicare ai server riceventi di scartare o mettere in quarantena i messaggi non riusciti. In modalità no-action, può anche indicare ai server di non intraprendere alcuna azione!
Il gruppo di hacker nordcoreani Kimsuky sta prendendo di mira i domini con politiche DMARC senza azione per sfruttare la mancanza di protezione che offrono. In questo modo hanno maggiori possibilità di consegnare con successo le loro e-mail di phishing.
Quali sono i diversi criteri DMARC che si possono configurare?
Il proprietario di un dominio può scegliere uno dei tre criteri DMARC: nessuno, rifiuto e quarantena. Come suggerisce il nome, nessuno è un criterio di non azione, mentre rifiuto e quarantena respingono e mettono in quarantena le e-mail non autorizzate.
Per configurare il criterio, è necessario aggiungere il tag p= al record DMARC quando si crea il record.
Che cos'è una politica DMARC senza azione/permissiva?
Il criterio DMARC nessuno è permissivo. È una modalità di criterio che non offre alcuna protezione contro gli attacchi informatici. Ma questo significa che non serve a nulla? Non è del tutto vero. Il DMARC none è tipicamente utilizzato nelle fasi iniziali del percorso di autenticazione delle e-mail, che può essere definito come la fase di "solo monitoraggio". Questa modalità può essere utilizzata come controllo per testare la configurazione e monitorare il traffico e-mail. Tuttavia, non incoraggiamo a mantenere questa politica per lunghi periodi, poiché lascia il vostro dominio vulnerabile agli attacchi informatici. L'obiettivo finale dovrebbe essere quello di passare in modo sicuro a una modalità di applicazione.
Di seguito è riportato un esempio di record DMARC con un criterio DMARC permissivo o debole:
v=DMARC1; p=nessuno;
In questo caso il tag p=none indica che il criterio è impostato su "none" e non offre alcuna protezione. Inoltre, questo record DMARC non ha alcun tag "rua" impostato, quindi lo scopo di monitoraggio della politica DMARC "none" non viene utilizzato.
In che modo una politica DMARC debole può danneggiarvi?
C'è uno svantaggio importante della politica di assenza di DMARC che potrebbe danneggiarvi in alcune circostanze. Quando si utilizza un criterio di assenza, anche quando il DMARC fallisce per la vostra e-mail, l'e-mail viene comunque consegnata al destinatario. Ciò significa che se il vostro dominio viene spoofato da un attore di minacce per inviare e-mail di phishing ai vostri clienti, le e-mail saranno consegnate nonostante il fallimento dell'autenticazione DMARC.
Anatomia degli attacchi di Spearphishing Kimsuky
Esistono diverse versioni di attacchi Kimsuky che le agenzie federali hanno messo in guardia nei loro avvisi tra il 2023 e il 2024. Analizziamo alcuni elementi chiave per comprendere le tattiche di attacco di Kimsuky:
- Kimsuky è noto per impersonare agenzie governative, think tank e media nelle e-mail di spearphishing. Può anche utilizzare siti web contraffatti per ottenere l'accesso alle informazioni personali e alle credenziali di accesso delle vittime.
- Di solito prendono di mira organizzazioni ben note e si spacciano per funzionari e dipendenti reali, in modo da guadagnare facilmente la fiducia delle vittime ignare.
- L'attacco di phishing è condotto in varie fasi e non in modo univoco. Nel corso del processo, gli aggressori possono assumere il ruolo di diverse identità in e-mail consecutive per mantenere la credibilità.
- Dopo alcuni innocui tentativi iniziali, una volta stabilita la fiducia, l'e-mail finale consegnata dagli aggressori contiene un allegato dannoso crittografato.
- Questo allegato contiene codice dannoso che si infiltra nell'account, nella rete o nel dispositivo dell'utente, consentendo a Kimsuky di accedere a tali sistemi.
- Le e-mail che si spacciano per think tank legittimi prendono di mira le agenzie che hanno configurato politiche DMARC deboli (p=nessuno) per il loro dominio.
- Purtroppo, a causa della politica di non azione DMARC configurata dal think tank o dall'organizzazione, le e-mail che non superano l'autenticazione DMARC vengono comunque consegnate alla casella di posta principale del destinatario. Questo segna il successo dell'attacco di phishing Kimsuky.
Prevenzione degli attacchi di phishing Kimsuky che sfruttano politiche DMARC deboli
L'FBI, nel suo rapporto IC3, delinea diverse misure preventive che potete adottare per evitare i recenti attacchi Kimsuky. Vediamo quali sono:
1. Configurare i criteri DMARC applicati
Per evitare che Kimsuky sfrutti le politiche DMARC deboli, passate a qualcosa di più forte, come una politica applicata. "Quarantena" e "Rifiuto" sono due modalità di criterio che si possono configurare. Con questi criteri, le e-mail di phishing impersonate vengono scartate o messe in quarantena invece di essere recapitate direttamente nella casella di posta del cliente.
Tuttavia, se configurato in modo errato, anche le vostre e-mail legittime potrebbero essere scartate! Per questo motivo è importante fare attenzione quando si configura un criterio applicato. Ecco come implementare in modo sicuro il rifiuto DMARC:
- Iscriviti su PowerDMARC gratuitamente e selezionare il generatore di record DMARC anche
- Creare un nuovo record DMARC con un criterio p=rifiuto
Nota: Se state impostando il DMARC per la prima volta, utilizzate un criterio di "nessuno" per monitorare tutte le fonti di invio utilizzando le nostre viste di dashboard e di reporting.
Una volta che le fonti di invio legittime sono state configurate correttamente per l'invio di e-mail conformi al DMARC, è possibile applicare il DMARC aggiornando i criteri per la quarantena e il rifiuto. Il nostro soluzione DMARC in hosting vi permette di passare facilmente da una modalità all'altra senza dover accedere al vostro DNS. Una volta che si è sicuri della propria configurazione, è sufficiente navigare su Hosted DMARC e aggiornare la modalità del criterio.
- Abilitare il reporting DMARC utilizzando il tag "rua" e definire un indirizzo e-mail per ricevere i report.
- Accedere alla console di gestione DNS e sostituire il record DMARC attuale con quello nuovo. Si noti che è necessario sostituire il record corrente e non pubblicare un nuovo record per lo stesso dominio se ne è già stato pubblicato uno.
Quando si utilizza p=reject, è necessario monitorare regolarmente il traffico e-mail per assicurarsi che i messaggi legittimi vengano recapitati. Il nostro strumento di reporting DMARC semplifica la gestione dei rapporti DMARC per garantire la recapitabilità. Iniziate oggi stesso a passare in modo sicuro a una politica applicata e a rafforzare le vostre difese contro Kimsuky!
2. Rilevare i segnali di allarme nelle e-mail
L'FBI indica diversi segnali di avvertimento presenti nelle e-mail di phishing, che possono essere dei veri e propri segnali di pericolo. Vediamo quali sono:
- Email grammaticalmente scorrette e scritte in modo inadeguato
- Le prime e-mail che sembrano particolarmente innocue sono seguite da quelle con link o allegati dannosi.
- Gli allegati dannosi richiedono ai destinatari di fare clic su "Abilita macro" per essere visualizzati. Di solito sono protetti da password nel tentativo di eludere i filtri antivirus.
- E-mail provenienti da domini spoofed con nomi di dominio scritti in modo errato
- Email che si spacciano per governi, università e think tank, ma che vengono inviate da fonti randomizzate che non contengono il nome di dominio esatto.
Tutti questi possono essere segni rivelatori di un attacco di phishing Kimsuky. In queste circostanze, è consigliabile non prendere in considerazione il contenuto dell'e-mail e non cliccare sugli allegati.
Per concludere
La recente recrudescenza degli attacchi Kimsuky che sfruttano le politiche DMARC permissive dimostra ulteriormente la natura in continua evoluzione degli attacchi informatici. Come abbiamo visto, la loro abilità nello sfruttare le politiche DMARC senza azione evidenzia la necessità critica per le organizzazioni di applicare misure più severe per salvaguardare gli attacchi di phishing.
L'avviso congiunto emesso dall'FBI, dal Dipartimento di Stato degli Stati Uniti e dall'NSA serve a ricordare i pericoli imminenti posti da questi attori delle minacce. Passando all'applicazione di politiche DMARC e rimanendo vigili sui segnali di allarme indicati dalle agenzie federali, le organizzazioni possono rafforzare le proprie difese e ridurre il rischio di cadere vittime delle sofisticate tattiche di Kimsuky.
Le aziende e gli enti devono essere proattivi nell'adattare e aggiornare i protocolli di sicurezza. Per iniziare, contattateci oggi stesso!
- Come gli strumenti di pentest automatizzati rivoluzionano l'e-mail e la sicurezza informatica - 3 febbraio 2025
- Caso di studio MSP: Hubelia ha semplificato la gestione della sicurezza del dominio client con PowerDMARC - 31 gennaio 2025
- Le 6 principali soluzioni DMARC per gli MSP nel 2025 - 30 gennaio 2025