北韩黑客Kimsuky的新邮件伪造策略

关键要点

Kimsuky又称Emerald Sleet或APT43利用新型邮件伪造技术进行网络钓鱼攻击此攻击旨在获取与北韩利益相关的情报，尤其是地缘政治事件及其对手的外交政策黑客通过伪装成合法的记者、智库和学者等来诱使受害者点击恶意链接或文档最近的攻击使用了DNS DMARC政策的漏洞来增强其伪造邮件的可信度建议组织加强DMARC政策以防止此类攻击，并警惕邮件中的红旗信号

根据美国联邦调查局FBI、美国国务院和国家安全局NSA于周四发布的联合警告，北韩黑客组织Kimsuky正在其最近的网络钓鱼活动中采用新的邮件伪造技术。

clash节点

Kimsuky是北韩军事情报局RGB下的一个子单位，以其针对获取与北韩利益相关的情报的网络钓鱼活动而著称。这些情报包括有关地缘政治事件和北韩对手的外交政策策略的信息。

该组织的作战方式通常是伪装成合法的记者、智库、学者和东亚事务的其他专家，诱导受害者在假装提供采访、发言或其他机会的幌子下打开恶意链接或文档。

攻击者随后会部署恶意软件，进一步访问受害者的网络和账户，从而窃取重要文档、通信记录和其他凭证。

在2023年末至2024年初的最近攻击中，Kimsuky利用DNS域名基础邮件认证、报告和合规DMARC政策的弱点，伪造其模仿组织的邮件发送域名，从而增强其网络钓鱼 efforts 的可信度。

据FBI的互联网犯罪投诉中心IC3报告，Kimsuky的钓鱼邮件有部分邮件的报头显示通过了发件人政策框架SPF和域名键识别邮件DKIM检查，但未能通过DMARC检查。

这表明攻击者可能成功通过合法组织的邮件客户端发送邮件，但操控了“发件人”字段，使其显示的邮件域名与实际邮件主机不一致。DMARC旨在帮助组织过滤来自被操控“发件人”域名的可疑邮件，但这需要组织设置DMARC政策以隔离或拒绝这些邮件。

来自报告的网络钓鱼邮件的报头显示，其认证结果为“dmarc=fail”，后跟“p=none”，意味着尽管失败，但没有采取任何行动。这使得该邮件可以顺利进入目标的收件箱，而未对目标发出关于伪造“发件人”域的警告。

该警告建议组织配置其DMARC政策，以隔离或拒绝使用不对齐域名的邮件，例如Kimsuky利用的邮件伪造策略。警告还列出了一些邮件可能与Kimsuky活动相关的红旗信号，包括文档附件要求用户“启用宏”才能查看文档，以及指示用户以不同于“发件人”字段邮件地址联系发件人。

“由于这些活动仍在持续，执法部门和目标对象可以通过检测准备阶段和分析攻击者及其活动来提前应对Kimsuky。关键是及早识别Kimsuky意图使用的域名和IP地址，” DomainTools的安全顾问Malachi Walker在一封电子邮件中告诉SC Media。他补充道，“通过发布这一警告，FBI、美国国务院和国家安全局可以提前通知潜在目标，并帮助他们连接所需的先进技术和信息，以检测和阻止这一活动。”

Kimsuky已经显示出其根据新的工具和新漏洞调整其策略的能力；这一北韩组织是微软发现的五个国家赞助威胁组织之一，使用ChatGPT进行各种任务，且该公司在二月揭示时进行了说明。

该组织还针对重要的ConnectWise ScreenConnect漏洞展开攻击，利用一种名为ToddlerShark的新恶意软件，试图在漏洞发布后几