АНБ, ФБР и Госдепартамент США предупредили, что связанная с Северной Кореей хакерская группа APT43 (она же Kimsuky, Black Banshee, Emerald Sleet, G0086, Operation Stolen Pencil, THALLIUM, Thallium и Velvet Chollima) эксплуатирует проблемы DMARC (Domain-based Message Authentication Reporting and Conformance) для маскировки атак с использованием направленного фишинга.
Американские власти считают, что злоумышленники используют неправильно настроенные политики DMARC для отправки спуфированных писем, которые в итоге выглядят так, будто исходят от надежных источников, включая журналистов, ученых и других экспертов по вопросам Восточной Азии.
«КНДР использует эти направленные фишинговые кампании для сбора разведданных о геополитических событиях, внешнеполитических стратегиях противников и любой другой информации, затрагивающей интересы Северной Кореи, получая незаконный доступ к приватным документам, исследованиям и сообщениям», — заявили в АНБ.
Сообщается, что в атаках используется отсутствие политик DMARC или политики DMARC с конфигурацией «p=none», которые предписывают принимающему почтовому серверу не совершать никаких действий в отношении сообщений, не прошедших проверку DMARC. Благодаря этому поддельные фишинговые письма APT43 успешно попадают в почтовые ящики целей.
Для снижения этой угрозы рекомендуется обновить политику безопасности DMARC в своей организации и использовать конфигурации «v=DMARC1; p=quarantine;» или «v=DMARC1; p=reject;».
В первом случае почтовым серверам предписывается помещать письма, не прошедшие проверку DMARC, в карантин и помечать их как потенциальный спам, а во втором — блокировать все письма, не прошедшие проверку DMARC.
«В дополнение к использованию поля “p” в политике DMARC, рекомендуется задействовать другие поля политики DMARC, такие как “rua”, для получения сводных отчетов о результатах работы DMARC для сообщений электронной почты, предположительно исходящих из домена организации», — добавляют правоохранители.
