电子邮件安全漏洞是朝鲜社会工程攻击的最新途径

与朝鲜政府有联系的黑客正在利用电子邮件安全系统的漏洞发送看似合法的欺骗性消息，使他们能够冒充记者或学者。

包括联邦调查局 (FBI)、国家安全局 (NSA) 和国务院在内的多个联邦机构本周发布了一份公告（https://www.ic3.gov/Media/News/2024/240502.pdf），警告Kimsuky 行动中的黑客正在瞄准配置不当的基于 DNS 域的消息身份验证、报告和一致性 (DMARC) 记录策略。

DMARC 已有十多年的历史，是一种安全工具，电子邮件平台使用它来验证邮件并使其流行的域无法被欺骗。成功的 DMARC 实施可以阻止试图伪装成来自经过验证的组织的恶意电子邮件。根据配置，未通过合法性测试的电子邮件可能会被标记为垃圾邮件或被阻止。

据这些机构称，朝鲜黑客的目标是配置不当的 DMARC 设置，使他们的电子邮件看起来像是来自合法域的电子邮件，从而使他们能够伪装成与朝鲜政策圈有可靠联系的专家或学者。这些机构跟踪的活动从 2023 年底到 2024 年初。

Kimsuky活动的电子邮件示例

在咨询报告的一个示例中，攻击者向受害者提供演讲费，作为让他们打开电子邮件的一种方式。一些电子邮件显示，有证据表明朝鲜黑客能够访问大学的合法电子邮件客户端来发送电子邮件。

大多数其他电子邮件都欺骗了合法记者的姓名和真实的电子邮件域，由于组织没有任何 DMARC 政策，因此仍然能够进入收件箱。

这些机构表示：“朝鲜利用这些鱼叉式网络钓鱼活动来收集有关地缘政治事件、对手外交政策战略的情报，以及通过非法获取目标私人文件、研究和通信来影响朝鲜利益的任何信息。”

Kimsuky 是一个黑客组织，执法机构认为该组织由朝鲜侦察总局 (RGB) 内的第 63 研究中心运营。该组织的目标是“通过损害政策分析师和其他专家的利益，向朝鲜政权提供被盗数据和宝贵的地缘政治见解。”

黑客花时间研究受害者并定制鱼叉式网络钓鱼电子邮件，以“显得更加真实，对目标更有吸引力”。据美国机构称，他们经常使用以前被入侵的电子邮件帐户的邮件内容来增强其欺骗性电子邮件的真实性。

“除了令人信服的电子邮件信息外，Kimsuky 黑客组织还被发现创建虚假用户名并使用合法域名冒充受信任组织（包括智囊团和高等教育机构）的个人，以获取信任并与电子邮件收件人建立融洽关系。”该咨询报告说。

如果有人对一封电子邮件产生怀疑并检查了“回复”部分，它仍然看起来来自合法域。

在美国或韩国从事朝鲜、亚洲、中国和/或东南亚事务的任何人都应该留意这些电子邮件，尤其是政府官员和军人。

该建议警告人们警惕那些最初通信无害、随后来自不同电子邮件地址的奇怪链接或附加文档的电子邮件。

长期以来，朝鲜行为者一直被指控冒充记者和研究人员，试图闯入组织系统。SentinelLabs 表示， SentinelLabs一月份发布了一份报告（https://www.sentinelone.com/labs/a-glimpse-into-future-scarcruft-campaigns-attackers-gather-strategic-intelligence-and-target-cybersecurity-professionals/），重点介绍了一项针对韩国学术界朝鲜事务专家以及一家专注于朝鲜问题的新闻机构的攻击活动。

参考链接：

https://www.securityweek.com/us-says-north-korean-hackers-exploiting-weak-dmarc-settings/

https://therecord.media/north-korea-kimsuky-hackers-dmarc-emails

讲述普通人能听懂的安全故事