El gobierno de EE. UU. emitió un nuevo aviso de ciberseguridad el jueves, alertando sobre los intentos de piratas informáticos norcoreanos de enviar correos electrónicos que aparentan provenir de fuentes legítimas y confiables. El boletín conjunto fue emitido por la NSA, el FBI y el Departamento de Estado.
Según la NSA, la RPDC aprovecha estas campañas de spear-phishing para obtener inteligencia sobre eventos geopolíticos y estrategias de política exterior de adversarios. Esta táctica explota políticas de registro de autenticación, informes y conformidad de mensajes basados en dominios DNS (DMARC) mal configurados para ocultar los intentos de ingeniería social. Esto permite a los piratas informáticos enviar correos electrónicos fraudulentos como si provinieran de un servidor de correo electrónico legítimo.
El aprovechamiento de las débiles políticas de DMARC se ha vinculado a un grupo de actividad norcoreano identificado por la comunidad de ciberseguridad como Kimsuky (también conocido como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 y Velvet Chollima), un colectivo asociado a la Oficina General de Reconocimiento (RGB) y afín al Grupo Lazarus.
Según un informe de Proofpoint publicado el mes pasado, Kimsuky adoptó este método a partir de diciembre de 2023 como parte de una campaña más amplia dirigida a expertos en política exterior, enfocada en temas como el desarme nuclear, las políticas de Estados Unidos y Corea del Sur, y las sanciones.
Al describir al adversario como un «experto en ingeniería social«, la firma de seguridad empresarial señaló que el grupo de piratas informáticos involucra a sus objetivos durante períodos prolongados a través de conversaciones benignas para generar confianza. Utilizan varios alias que se hacen pasar por expertos en la materia de la RPDC en grupos de expertos, academia, periodismo e investigación independiente.
Los investigadores de Proofpoint, Greg Lesnewich y Crista Giering, mencionaron: «Los destinatarios suelen ser solicitados a compartir sus opiniones sobre estos temas por correo electrónico o en un trabajo o artículo de investigación formal».
La compañía destacó que muchas de las entidades falsificadas por TA427 no implementaron las políticas DMARC, permitiendo que los mensajes de correo electrónico eludieran los controles de seguridad y garantizaran la entrega incluso en caso de fallos en esos controles.
Además, se observó que Kimsuky utiliza «direcciones de correo electrónico gratuitas que suplantan a la misma persona en el campo de respuesta para convencer al objetivo de que está interactuando con personal legítimo».
Fuente: https://thehackernews.com
