朝鲜黑客欺骗记者电子邮件以监视专家

一份新的美国政府咨询报告警告称，朝鲜威胁行为者正在利用薄弱的电子邮件政策，在间谍网络钓鱼活动中欺骗合法域名。

美国联邦调查局、美国国务院和美国国家安全局(NSA)表示，与朝鲜有关的Kimsuky组织正在利用配置不完善的DNS基于域的消息认证、报告和一致性(DMARC)协议，冒充与朝鲜政策圈有可靠联系的东亚事务合法记者、学者或其他专家。

威胁行为者试图通过这些鱼叉式网络钓鱼攻击访问私人文件、研究和政策分析师和其他专家的通信。

这些机构指出，这些社会工程活动旨在向平壤政权提供有关美国和韩国等被视为政治、军事或经济威胁的国家的地缘政治事件和外交政策战略的情报。

配置不良的DMARC协议被利用

该报告称，Kimsuky的鱼叉式网络钓鱼活动具有很强的针对性，通过广泛的研究和准备来创建量身定制的在线角色。

为了使角色对目标来说更合法，Kimsuky参与者已经观察到创建假用户名并使用合法域名来冒充来自可信组织的个人，包括智库和高等教育机构。

如果组织没有安全配置其DMARC策略，这些电子邮件将被发送到收件人的收件箱。

DMARC协议告诉接收邮件的服务器在检查一个域的发件人策略框架(SPF)和域名密钥识别邮件(DKIM)记录后如何处理邮件。

根据电子邮件是否通过SPF和DKIM，它将被标记为垃圾邮件，阻止或发送到预期收件人的收件箱。

这是为了使电子邮件域名所有者能够保护他们的域名免受未经授权的使用。

然而，据观察，朝鲜威胁行为者发送的电子邮件克服了薄弱和过于宽松的DMARC政策，而不是明确定义的DMARC政策。

在报告中提到的一个例子中，设置DMARC策略时，即使消息没有通过DMARC验证，也不会对消息采取电子邮件过滤操作。这允许电子邮件发送到收件人的收件箱。

在第二个例子中，Kimsuky网络演员冒充合法记者，向朝鲜问题专家寻求评论，利用DMARC政策的缺失，该政策可以通过SPF检查验证发送电子邮件地址。

如何减轻Kimsuky网络钓鱼策略

鉴于Kimsuky的鱼叉式网络钓鱼策略，美国联邦机构向组织发布了以下建议，以加强DMARC政策的安全性。

• 更新您的DMARC策略为“v=DMARC1;p=quarantine; "或" v=DMARC1;P =reject; "向电子邮件服务器发出信号，将未经认证的电子邮件视为垃圾邮件

• 设置其他DMARC策略字段，例如“rua”，以接收关于据称来自组织域的电子邮件消息的DMARC结果的汇总报告

此外，他们还列出了可疑的朝鲜恶意网络钓鱼邮件指标，以供潜在目标注意:

• 无害的初始通信，没有恶意链接/附件，随后包含恶意链接/文档的通信，可能来自不同的，看似合法的电子邮件地址

• 电子邮件内容可能包括从以前的受害者与其他合法联系人的接触中恢复的消息的真实文本

• 句子结构尴尬或语法错误的英文电子邮件

• 针对直接或间接了解政策信息的受害者的电子邮件或通信，包括从事朝鲜、亚洲、中国和/或东南亚事务的美国和韩国政府雇员/官员;美国和韩国政府的高级职员;还有军人

• 电子邮件账户被微妙的错误拼写所欺骗，这些错误拼写是大学目录或官方网站上列出的合法姓名和电子邮件地址

• 需要用户点击“启用宏”来查看文档的恶意文档

• 如果目标没有回应最初的鱼叉式网络钓鱼邮件，则在最初联系后的2-3天内发送后续邮件

• 声称来自官方来源但使用非官方电子邮件服务发送的电子邮件，通过电子邮件标题信息可以识别为组织域名的稍微错误版本

原文始发于微信公众号（HackSee）：朝鲜黑客欺骗记者电子邮件以监视专家