Kimsuky wykorzystuje zasady DMARC "Brak" w ostatnich atakach phishingowych

Blog

Północnokoreańska grupa hakerów Kimsuky atakuje organizacje o słabej polityce DMARC w celu przeprowadzania ataków phishingowych. Dowiedz się, jak egzekwować DMARC i chronić się przed Kimsuky.

przez Ahona Rudra

Czas odczytu: 7 min
Kimsuky wykorzystuje zasady DMARC "Brak" w ostatnich atakach phishingowych
Spis treści-

Północnokoreańska grupa hakerów Kimsuky nie jest nowością w cyberświecie. Ta wysoce wyrafinowana grupa podmiotów stanowiących zagrożenie jest ponownie aktywna, teraz atakując domeny z permisywną polityką DMARC w celu przeprowadzenia wysoce ukierunkowanych ataków phishingowych. 

Kimsuky zawsze wykorzystywał taktyki inżynierii społecznej, często używając poczty elektronicznej jako medium do inicjowania ataków. Jednak w ostatnich atakach zmienili sytuację, wykorzystując zasady DMARC, które nie zapewniają żadnej ochrony. Podkreśla to potrzebę praktyki egzekwowania DMARC czyniąc je kluczowymi dla bezpieczeństwa organizacji.

W dniu 2 maja 2024 r. Federalne Biuro Śledcze (FBI), Departament Stanu USA i Agencja Bezpieczeństwa Narodowego (NSA) wydały wspólny komunikat ostrzegające przed Kimsuky wykorzystującym permisywne zasady DMARC do przeprowadzania ataków spearphishingowych. Przyjrzyjmy się temu bliżej!

Kluczowe wnioski

  1. Kimsuky atakuje domeny z permisywną polityką DMARC w celu przeprowadzania wyrafinowanych ataków phishingowych.
  2. Wdrożenie silnej polityki DMARC, takiej jak "kwarantanna" lub "odrzucenie", ma kluczowe znaczenie dla zapobiegania spoofingowi wiadomości e-mail.
  3. Polityka DMARC bez działania pozostawia domeny podatne na ataki, ponieważ pozwala na dostarczanie nieudanych wiadomości.
  4. Rozpoznawanie znaków ostrzegawczych w wiadomościach e-mail może pomóc zidentyfikować potencjalne próby phishingu ze strony grup takich jak Kimsuky.
  5. Zachowanie proaktywności poprzez regularne aktualizowanie protokołów bezpieczeństwa jest niezbędne do obrony przed ewoluującymi zagrożeniami cybernetycznymi.

Krótka historia Kimsuky 

The Grupa hakerów Kimsuky ma wiele nazw - Velvet Chollima, Black Banshee i Emerald Sleet to tylko niektóre z nich. Mając swoje korzenie w Korei Północnej, Kimsuky zaczęli przeprowadzać ataki cyberszpiegowskie wymierzone w południowokoreańskie instytuty badawcze i polityczne, operatorów energii jądrowej i organy ministerialne.

Chociaż ta grupa hakerów może być aktywna od ponad dekady, ostatnio poszerzyła swoje horyzonty, atakując organizacje w Rosji, USA i Europie.

Uprość bezpieczeństwo z PowerDMARC!

15-dniowy trialZamów demo
  1. "Pierwsze w swoim rodzaju" ataki Kimsuky datowane są na 2019 rok. 
  2. Kimsuky rzekomo ukradł poufne dane od południowokoreańskiego operatora energii jądrowej Korea Hydro & Nuclear Power w marcu 2015 roku.
  3. We wrześniu 2020 r, Kimsuky zaatakował 11 urzędników z Rady Bezpieczeństwa ONZ, próbując ich zhakować.

Kimsuky wykorzystuje złagodzone zasady DMARC w atakach phishingowych w 2024 r. 

Twój Polityka DMARC jest obowiązkowym polem w rekordzie DMARC, które określa działanie podejmowane po stronie klienta dla wiadomości, które nie przejdą DMARC. Polityka DMARC może nakazać serwerom odbierającym odrzucenie lub poddanie kwarantannie wiadomości, które nie powiodły się. W trybie bezczynności, może ona również nakazać serwerom, aby nie podejmowały żadnych działań!

Północnokoreańska grupa hakerów Kimsuky atakuje domeny z polityką DMARC bez działania, aby wykorzystać brak oferowanej przez nie ochrony. Daje im to większą szansę na pomyślne dostarczenie wiadomości phishingowych

Jakie są różne zasady DMARC, które można skonfigurować?

Jako właściciel domeny możesz wybrać jedną z trzech polityk DMARC: brak, odrzucenie i kwarantanna. Jak sama nazwa wskazuje, brak jest polityką braku działania, podczas gdy odrzucanie i kwarantanna odrzuca i poddaje kwarantannie nieautoryzowane wiadomości e-mail. 

Aby skonfigurować politykę, należy dodać znacznik p= do rekordu DMARC podczas jego tworzenia. 

Czym jest polityka DMARC typu no-action/permissive? 

Polityka DMARC none jest permisywna. Jest to tryb polityki, który nie oferuje żadnej ochrony przed cyberatakami. Ale czy to oznacza, że nie służy ona żadnemu celowi? To nie do końca prawda. DMARC none jest zazwyczaj używany na początkowych etapach podróży uwierzytelniania poczty elektronicznej, które można nazwać fazą "tylko monitorowania". Tryb ten może być używany jako kontrola do testowania konfiguracji i monitorowania ruchu e-mail. Nie zachęcamy jednak do pozostawania przy tej polityce przez długi czas, ponieważ pozostawia ona domenę podatną na cyberataki. Ostatecznym celem powinno być bezpieczne przejście do trybu egzekwowania. 

Poniżej znajduje się przykład rekordu DMARC z permisywną lub słabą polityką DMARC: 

v=DMARC1; p=none; 

Tutaj znacznik p=none oznacza, że polityka jest ustawiona na "none", nie oferując żadnej ochrony. Co więcej, ten rekord DMARC nie ma ustawionych żadnych tagów "rua", stąd cel monitorowania polityki DMARC "none" nie jest wykorzystywany.

W jaki sposób słaba polityka DMARC może ci zaszkodzić? 

Istnieje jedna istotna wada polityki DMARC none, która może być szkodliwa w pewnych okolicznościach. Polega ona na tym, że nawet jeśli DMARC nie powiedzie się dla Twojej wiadomości e-mail, jest ona nadal dostarczana do odbiorcy. Oznacza to, że jeśli Twoja domena zostanie sfałszowana przez podmiot stanowiący zagrożenie w celu wysłania wiadomości phishingowych do Twoich klientów, e-maile zostaną dostarczone pomimo niepowodzenia uwierzytelniania DMARC.

Anatomia ataków spearphishingowych Kimsuky

Istnieje kilka wersji ataków Kimsuky, przed którymi agencje federalne ostrzegały w swoich poradnikach w latach 2023-2024. Przeanalizujmy kilka kluczowych wniosków, aby zrozumieć taktykę ataku Kimsuky: 

  • Kimsuky jest znany z podszywania się pod agencje rządowe, ośrodki analityczne i media w e-mailach typu spearphishing. Mogą również wykorzystywać sfałszowane strony internetowe, aby uzyskać dostęp do danych osobowych i danych logowania ofiar. 
  • Zazwyczaj atakują oni znane organizacje i podszywają się pod prawdziwych urzędników i pracowników, dzięki czemu mogą łatwo zdobyć zaufanie niczego niepodejrzewających ofiar.
  • Atak phishingowy jest przeprowadzany w różnych fazach, a nie w sposób jednorazowy. W trakcie tego procesu atakujący mogą przyjmować rolę kilku różnych tożsamości w kolejnych wiadomościach e-mail, aby zachować wiarygodność.
  • Po kilku nieszkodliwych początkowych próbach, gdy zaufanie zostanie ustanowione, ostateczna wiadomość e-mail dostarczona przez atakujących zawiera zaszyfrowany złośliwy załącznik. 
  • Załącznik ten zawiera złośliwy kod, który infiltruje konto użytkownika, sieć lub urządzenie, ostatecznie zapewniając Kimsuky dostęp do tych systemów.
  • Wiadomości e-mail podszywające się pod legalne ośrodki analityczne są skierowane do agencji, które mają słabe polityki DMARC (p=none) skonfigurowane dla swojej domeny. 
  • Niestety, ze względu na politykę bezczynności DMARC skonfigurowaną przez think tank lub organizację, wiadomości e-mail, które nie przejdą uwierzytelnienia DMARC, są nadal dostarczane do głównej skrzynki odbiorczej odbiorcy. To ostatecznie oznacza sukces ataku phishingowego Kimsuky. 

Zapobieganie atakom phishingowym Kimsuky wykorzystującym słabe zasady DMARC

FBI w swoim raporcie IC3 przedstawia kilka środków zapobiegawczych, które można podjąć, aby zapobiec niedawnym atakom Kimsuky. Przyjrzyjmy się im bliżej: 

1. Skonfiguruj wymuszone zasady DMARC 

Aby zapobiec wykorzystywaniu przez Kimsuky słabych polityk DMARC - należy przejść na coś silniejszego, jak wymuszona polityka. "Kwarantanna" i "odrzucenie" to dwa takie tryby polityki, które można skonfigurować. W tych politykach podszyte wiadomości phishingowe są odrzucane lub poddawane kwarantannie, zamiast być dostarczane bezpośrednio do skrzynki odbiorczej klienta. 

Jednak w przypadku nieprawidłowej konfiguracji, legalne wiadomości e-mail mogą również zostać odrzucone! Dlatego ważne jest, aby zachować ostrożność podczas konfigurowania wymuszonej polityki. Oto jak bezpiecznie wdrożyć odrzucanie DMARC: 

  • Utwórz nowy rekord DMARC z polityką p=reject

Uwaga: Jeśli konfigurujesz DMARC po raz pierwszy, użyj polityki "brak", aby monitorować wszystkie źródła wysyłania za pomocą naszego pulpitu nawigacyjnego i widoków raportowania.

Po prawidłowym skonfigurowaniu legalnych źródeł nadawczych do wysyłania wiadomości e-mail zgodnych z DMARC, można egzekwować DMARC poprzez aktualizację polityki w celu poddania kwarantannie, a następnie odrzucenia. Nasz hostowane rozwiązanie DMARC pozwala na łatwe przełączanie się między trybami polityki bez dostępu do DNS. Po upewnieniu się co do konfiguracji, wystarczy przejść do Hosted DMARC i zaktualizować tryb polityki.

  • Włącz raportowanie DMARC za pomocą tagu "rua" i zdefiniuj adres e-mail, na który mają być wysyłane raporty.

  • Uzyskaj dostęp do konsoli zarządzania DNS i zastąp bieżący rekord DMARC nowym. Należy pamiętać, że należy zastąpić bieżący rekord i nie publikować nowego rekordu dla tej samej domeny, jeśli ma ona już jeden opublikowany. 

W przypadku ustawienia p=reject należy regularnie monitorować ruch e-mail, aby upewnić się, że legalne wiadomości są dostarczane. Nasze Narzędzie do raportowania DMARC upraszcza zarządzanie raportami DMARC w celu zapewnienia dostarczalności. Zacznij już dziś, aby bezpiecznie przejść na wymuszoną politykę i wzmocnić swoją obronę przed Kimsuky!

2. Wykrywanie sygnałów ostrzegawczych w wiadomościach e-mail

FBI przedstawia kilka znaków ostrzegawczych obecnych w wiadomościach phishingowych, które mogą być śmiertelną pułapką. Przyjrzyjmy się im bliżej: 

  • Niepoprawne gramatycznie i źle napisane wiadomości e-mail 
  • Początkowe wiadomości e-mail, które brzmią szczególnie nieszkodliwie, a następnie te ze złośliwymi linkami lub załącznikami.
  • Złośliwe załączniki wymagają od odbiorców kliknięcia opcji "Włącz makra" w celu ich wyświetlenia. Zazwyczaj są one chronione hasłem w celu ominięcia filtrów antywirusowych
  • Wiadomości e-mail pochodzące z fałszywych domen z błędnie wpisanymi nazwami domen 
  • Wiadomości e-mail podszywające się pod rządy, uniwersytety i ośrodki analityczne, ale wysyłane z losowych źródeł, które nie zawierają dokładnej nazwy domeny.

Wszystko to może wskazywać na atak phishingowy Kimsuky. W takich okolicznościach najlepiej jest nie angażować się w treść wiadomości e-mail ani nie klikać żadnych załączników. 

Na zakończenie

Niedawne odrodzenie się ataków Kimsuky wykorzystujących permisywne polityki DMARC dodatkowo dowodzi stale ewoluującej natury cyberataków. Jak widzieliśmy, ich zręczność w wykorzystywaniu zasad DMARC bez działania podkreśla krytyczną potrzebę egzekwowania przez organizacje silniejszych środków ochrony przed atakami phishingowymi. 

Wspólne doradztwo wydane przez FBI, Departament Stanu USA i NSA służy jako wyraźne przypomnienie o bezpośrednich zagrożeniach stwarzanych przez takich aktorów. Przechodząc na wymuszoną politykę DMARC i pozostając czujnym na znaki ostrzegawcze nakreślone przez agencje federalne, organizacje mogą wzmocnić swoją obronę i zmniejszyć ryzyko padnięcia ofiarą wyrafinowanej taktyki Kimsuky'ego. 

Firmy i podmioty muszą pozostać proaktywne w dostosowywaniu i aktualizowaniu protokołów bezpieczeństwa. Aby rozpocząć, skontaktuj się z nami już dziś!

Latest posts by Ahona Rudra (zobacz wszystkie)
Jak skonfigurować DMARC dla Office 365: Przewodnik krok po krokuoffice 365 powerdmarc blogPowerDMARC i SecLytics łączą siły w celu integracji Threat Intelligence w...