NSA提醒称朝鲜黑客正在利用薄弱的DMARC邮件策略

NSA和FBI 联合美国国务院提醒称，攻击者滥用配置不当的 DMARC 策略发送遭欺骗的邮件，而这些邮件似乎源自可信来源如记者、学术界和其它东亚事务专家。NSA提到，“朝鲜利用这些鱼叉式钓鱼攻击，通过获得对目标私密文档、研究和通信的非法访问权限，收集地理政治事件情报、对手的外交政策战略以及影响朝鲜利益的任何信息。”

受美国制裁的朝鲜军方情报组织机构侦察总局 (RGB) 被指是情报收集和间谍活动的幕后黑手，被指至少活跃于2012年。RGB的目的被指是利用美国、韩国和其它利益相关国家的情报支持朝鲜的国家情报目标并阻断威胁朝鲜安全稳定的政治、军事或经济威胁。

正如NSA和FBI去年披露的那样，APT43组织假冒记者和学术界发动鱼叉式钓鱼攻击，自2018年起攻击位于美国、欧洲、日本和韩国的智库、研究中心、学术机构和媒体机构。公告提到，该黑客组织的“任务是通过攻陷策略分析师和其他专家，向朝鲜政权提供被盗数据和有价值的地理政治信息，成功攻陷进一步使他们构造更可信和有效的鱼叉式钓鱼邮件，之后用于攻陷更敏感、价值更高的目标”。

该黑客组织在攻击中利用的是缺失的 DMARC 策略或配置 “p=none” 的 DMARC 策略即告知邮件接收服务器对于未通过 DMARC 检查的信息不采取任何措施。这就导致 APT43 组织通过社工的鱼叉式钓鱼邮件和此前受陷的内容触及目标的邮箱。

为缓解该威胁，FBI、NSA和美国国务院建议防御人员将DMARC 安全策略更新为使用 "v=DMARC1; p=quarantine;" 或 "v=DMARC1; p=reject;" 配置。第一个配置指示邮件服务器清理未能通过DMARC的邮件并将它们标记为“潜在垃圾邮件”，第二个配置要求它们拦截所有未能通过 DMARC 检查的邮件。

这些机构表示，“除了设置 DMARC 策略中的字段 ‘p’，这些机构建议组织机构设置DMARC策略的其它字段，如设置为 ‘rua’ 接收关于来自该组织机构域名的邮件信息 DMARC 结果的聚合报告。”