朝鲜黑客组织 Kimsuky 对网络世界来说并不陌生。这个高度复杂的威胁行动者组织再次活跃起来,现在他们瞄准具有许可 DMARC 政策的域,发起针对性极强的网络钓鱼攻击。
Kimsuky 一直利用社交工程策略,经常使用电子邮件作为发起攻击的媒介。然而,在最近的攻击中,他们改变了策略,利用了无法提供保护的 DMARC 政策。这凸显了 DMARC实践的必要性,使其成为组织安全的核心。
2024 年 5 月 2 日,联邦调查局(FBI)、美国国务院和国家安全局(NSA)发布了一份 联合警告警告说,Kimsuky 利用允许的 DMARC 政策发起鱼叉式网络钓鱼攻击。让我们深入探讨一下!
Kimsuky 简史
黑客组织 黑客组织他们有很多名字--"天鹅绒 Chollima"、"黑色女妖 "和 "翡翠雪花 "就是其中的几个。Kimsuky 起源于朝鲜,开始针对韩国的研究和政策机构、核电运营商和部级机构发起网络间谍攻击。
虽然这个黑客组织可能已经活跃了十多年,但他们最近扩大了视野,将目标对准了俄罗斯、美国和欧洲的组织。
过去报道过的热门 Kimsuky 攻击事件
- "首创 "的 Kimsuky 攻击可追溯到 2019 年。
- Kimsuky 涉嫌于 2015 年 3 月从韩国核电运营商2015 年 3 月,他从韩国核电运营商韩国水电与核电公司(Korea Hydro & Nuclear Power)窃取了敏感数据。
- 2020 年 9 月、 Kimsuky 针对联合国安理会的 11 名官员试图入侵他们。
Kimsuky 在 2024 年利用放宽的 DMARC 政策进行网络钓鱼攻击
您的 DMARC 策略是 DMARC记录中的一个必填字段,它决定了客户端对 DMARC 失败邮件采取的措施。DMARC 策略可以指示接收服务器丢弃或隔离未通过的邮件。在 "不采取行动 "模式下,它还可以指示服务器不采取任何行动!
朝鲜黑客组织 Kimsuky 将目标锁定在采用无动作 DMARC 策略的域上,以利用这些域缺乏保护的弱点。这为他们提供了更高的成功发送网络钓鱼电子邮件的机会。
可以配置哪些不同的 DMARC 策略?
作为域名所有者,您可以从三种 DMARC 策略中选择一种:无、拒绝和隔离。顾名思义,"无 "是一种不采取行动的策略,而 "拒绝 "和 "隔离 "则是拒绝和隔离未经授权的电子邮件。
要配置策略,需要在创建 DMARC 记录时将 p= 标记添加到记录中。
什么是不采取行动/允许的 DMARC 政策?
DMARC 无策略是允许的。它是一种不提供网络攻击保护的策略模式。但这是否意味着它没有任何作用呢?事实并非如此。DMARC none 通常用于电子邮件验证之旅的起始阶段,也就是 "仅监控 "阶段。该模式可用作测试配置和监控电子邮件流量的控制手段。但是,我们不鼓励长期使用这种策略,因为它会使您的域名容易受到网络攻击。您的最终目标应该是安全地转入执行模式。
下面是使用许可或弱 DMARC 策略的 DMARC 记录示例:
v=DMARC1; p=none;
这里的 p=none 标签表示策略设置为 "无",不提供任何保护。此外,该 DMARC 记录没有设置任何 "rua "标记,因此 DMARC "无 "策略的监控目的没有得到利用。
薄弱的 DMARC 政策会给您带来哪些危害?
DMARC 无策略有一个显著的缺点,在某些情况下可能会对您造成损害。这就是,当使用无策略时,即使DMARC对您的电子邮件失效,电子邮件仍会发送给收件人。这意味着,如果您的域名被威胁行为者欺骗,向您的客户发送钓鱼邮件、 尽管 DMARC 身份验证失败,但邮件仍会送达。
Kimsuky 鱼叉式网络钓鱼攻击剖析
2023 年至 2024 年间,联邦机构在其公告中警告了多个版本的 Kimsuky 攻击。让我们探讨一些关键要点,以了解 Kimsuky 的攻击策略:
- Kimsuky 因在鱼叉式网络钓鱼电子邮件中假冒政府机构、智囊团和媒体机构而闻名。他们还可能利用欺骗网站获取受害者的个人信息和登录凭证。
- 他们通常以知名组织为目标,假冒真正的官员和员工,从而轻易获得毫无戒心的受害者的信任。
- 网络钓鱼攻击分不同阶段进行,并非一劳永逸。在此过程中,攻击者可能会在连续的电子邮件中扮演多个不同身份的角色,以保持可信度。
- 经过几次无害的初步尝试后,一旦建立了信任,攻击者发送的最终电子邮件就会包含一个加密的恶意附件。
- 该附件带有恶意代码,会渗透到用户的账户、网络或设备中,最终让 Kimsuky 进入这些系统。
- 这些冒充合法智库的电子邮件针对的是为其域配置了弱 DMARC 策略(p=none)的机构。
- 不幸的是,由于智囊团或组织配置了不采取行动的 DMARC 政策,未能通过 DMARC 验证的电子邮件仍会发送到收件人的主收件箱。这最终标志着 Kimsuky 网络钓鱼攻击的成功。
防止利用薄弱的 DMARC 政策进行 "Kimsuky "网络钓鱼攻击
联邦调查局在 IC3 报告中概述了几项预防措施,您可以采取这些措施来防止最近的 Kimsuky 攻击。让我们来探讨一下这些措施:
1.配置强制执行的 DMARC 政策
为防止 Kimsuky 利用薄弱的 DMARC 策略,请改用强制策略等更强大的策略。"隔离 "和 "拒绝 "是您可以配置的两种策略模式。在这些策略中,冒充的网络钓鱼邮件会被丢弃或隔离,而不是直接发送到客户的收件箱中。
但是,如果配置不当,您的合法电子邮件也可能被丢弃!因此,在配置强制策略时一定要谨慎。下面介绍如何安全地实施 DMARC 拒绝:
- 注册免费注册 PowerDMARC 并选择 DMARC 记录生成器以及
- 使用 p= 拒绝策略创建新的 DMARC 记录
注释: 如果您是第一次设置 DMARC,请使用 "无 "策略,以便使用我们的仪表板和报告视图监控所有发送源。
一旦合法发送源被正确配置为发送符合 DMARC 标准的电子邮件,您就可以通过更新策略来执行 DMARC,将其隔离,然后拒绝。我们的 托管 DMARC解决方案使您无需访问 DNS 即可在策略模式之间轻松切换。一旦您对自己的设置有信心,只需导航到托管 DMARC 并更新策略模式即可。
- 使用 "rua "标记启用 DMARC 报告,并定义一个接收报告的电子邮件地址
- 访问 DNS 管理控制台,用新记录替换当前 DMARC 记录。请注意,您必须替换当前记录,如果同一域已经发布了新记录,则不能再发布新记录。
当使用 p=reject 时,您必须定期监控您的电子邮件流量,以确保您的合法邮件能够送达。我们的 DMARC 报告工具简化了DMARC 报告管理,以确保可送达性。立即开始使用,安全过渡到强制策略并加强对 Kimsuky 的防御!
2.检测电子邮件中的警告信号
联邦调查局概述了网络钓鱼电子邮件中的几个警告标志,这些标志可能是致命的线索。让我们一起来看看都有哪些:
- 语法错误和书写不规范的电子邮件
- 最初的电子邮件听起来特别无害,然后是带有恶意链接或附件的电子邮件
- 恶意附件要求收件人点击 "启用宏 "才能查看。它们通常有密码保护,以躲避杀毒软件的过滤
- 来自拼写错误的欺骗性域名的电子邮件
- 冒充政府、大学和智囊团,但从随机来源发送的不包含准确域名的电子邮件
所有这些都可能是 Kimsuky 网络钓鱼攻击的预兆。在这种情况下,建议最好不要浏览电子邮件内容或点击任何附件。
总结
最近,利用许可 DMARC 政策的 Kimsuky 攻击再次兴起,这进一步证明了网络攻击不断变化的本质。正如我们所看到的那样,它们善于利用不采取行动的 DMARC 政策,这凸显了企业实施更有力的措施来防范网络钓鱼攻击的迫切需要。
联邦调查局、美国国务院和美国国家安全局发布的联合警告明确提醒人们注意此类威胁行为者带来的迫在眉睫的危险。通过转向强制执行 DMARC 政策并对联邦机构列出的警告信号保持警惕,企业可以加强防御,降低成为 Kimsuky 复杂战术受害者的风险。
企业和实体必须积极主动地调整和更新安全协议。开始行动 联系我们今天就联系我们!
- 高等教育中的数据泄露和电子邮件网络钓鱼- 2024 年 11 月 29 日
- 什么是 DNS 转发及其五大优势- 2024 年 11 月 24 日
- 从 2025 年起支付卡行业必须使用 DMARC- 2024 年 11 月 22 日