La NSA et le FBI ont averti que le groupe de piratage lié à la Corée du Nord APT43 exploitait de faibles politiques de rapport et de conformité d’Authentification des messages basés sur le domaine de messagerie (DMARC) pour masquer les attaques de harponnage.

En collaboration avec le Département d’État américain, les deux agences ont averti que les attaquants abusent des politiques DMARC mal configurées pour envoyer des courriels usurpés qui semblent provenir de sources crédibles telles que des journalistes, des universitaires et d’autres experts des affaires de l’Asie de l’Est.

« La RPDC tire parti de ces campagnes de harponnage pour collecter des renseignements sur les événements géopolitiques, les stratégies de politique étrangère de l’adversaire et toute information affectant les intérêts de la RPDC en obtenant un accès illicite aux documents privés, aux recherches et aux communications des cibles », a déclaré la NSA.

Le Bureau général de Reconnaissance (RGB) sanctionné par les États – Unis, la principale organisation de renseignement militaire de la Corée du Nord, est à l’origine d’un large éventail d’activités de collecte de renseignements et d’espionnage coordonnées par le groupe subordonné de menaces étatiques APT43, également connu sous les noms de Kimsuky, Emerald Sleet, Velvet Chollima et Black Banshee et actif depuis au moins 2012.

L’objectif est de conserver des renseignements à jour sur les États-Unis, la Corée du Sud et d’autres pays d’intérêt pour soutenir les objectifs nationaux de renseignement de la Corée du Nord et entraver toute menace politique, militaire ou économique perçue pour la sécurité et la stabilité du régime.

Comme la NSA et le FBI l’ont révélé pour la première fois l’année dernière, des agents d’APT43 se font passer pour des journalistes et des universitaires pour des campagnes de harponnage, ciblant des groupes de réflexion, des centres de recherche, des institutions universitaires et des médias aux États-Unis, en Europe, au Japon et en Corée du Sud depuis 2018.

« La mission principale des acteurs de Kimsuky est de fournir des données volées et des informations géopolitiques précieuses au régime nord-coréen en compromettant les analystes politiques et autres experts », ont ajouté les agences dans un avis conjoint [PDF] publié cette semaine.

« Les compromis réussis permettent en outre aux acteurs de Kimsuky de créer des courriels de spearphishing plus crédibles et efficaces, qui peuvent ensuite être exploités contre des cibles plus sensibles et de plus grande valeur. »

Mesures d’atténuation
Dans ces attaques, ils exploitent des stratégies DMARC manquantes ou des stratégies DMARC avec des configurations « p = none », qui indiquent au serveur de messagerie destinataire de ne prendre aucune mesure sur les messages qui échouent aux vérifications DMARC.

Cela permet aux courriels usurpés de spearphishing d’APT43 utilisant l’ingénierie sociale et le contenu précédemment compromis d’atteindre les boîtes aux lettres des cibles.

Pour atténuer cette menace, le FBI, le Département d’État américain et la NSA conseillent aux défenseurs de mettre à jour la politique de sécurité DMARC de leur organisation pour utiliser les configurations « v=DMARC1; p=quarantine; » ou « v=DMARC1; p=reject; ».

Le premier demande aux serveurs de messagerie de mettre en quarantaine les e-mails qui échouent au DMARC et de les étiqueter comme spam potentiel, tandis que le second leur dit de bloquer tous les e-mails qui échouent aux vérifications DMARC.

« En plus de définir le champ » p « dans la stratégie DMARC, les agences de création recommandent aux organisations de définir d’autres champs de stratégie DMARC, tels que » rua « pour recevoir des rapports agrégés sur les résultats DMARC pour les messages électroniques prétendument du domaine de l’organisation », ont ajouté les agences.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *