Nordkoreanische Akteure nutzen E-Mail-Einstellungen für Spearphishing aus
Die US-Regierung gab vergangene Woche eine Warnung über nordkoreanische Bedrohungsakteure heraus. Demzufolge nutzen diese schwache E-Mail-DMARC-Einstellungen (Domain-based Message Authentication Reporting and Conformance) aus, um gefälschte Spearphishing-E-Mails so zu versenden, als kämen sie von einer legitimen Domain-E-Mail-Adresse.
„Wir haben beobachtet, dass nordkoreanische Bedrohungsakteure wie APT43 die mangelhaften DMARC-Konfigurationen ausnutzen, um mit Leichtigkeit bekannte Einrichtungen an großen Universitäten, Denkfabriken und NGOs zu fälschen. Auf diese Weise konnten sie prominente Einrichtungen in speziellen Bereichen ins Visier nehmen und Informationen von hoher Priorität für das nordkoreanische Regime sammeln. Dies taten sie, indem sie die E-Mail-Adressen legitimer Benutzer von legitimen Organisationen fälschten, um die Opfer zu kontaktieren. Es ist ein weit verbreitetes, aber leicht zu behebendes Problem. Diese Taktik ermöglicht es den Bedrohungsakteuren, Informationen über bevorstehende Sanktionen westlicher Regierungen zu sammeln und Informationen über die nukleare Abschreckung und die Bewaffnung der USA sowie ihrer Verbündeten zu erlangen, damit sich das Regime besser vorbereiten kann. Die Bedrohungsakteure der DVRK können das Vertrauen, das sie bei ihrer Zielperson aufgebaut haben, auch nutzen, um später Malware über einen bösartigen Link oder ein angehängtes Dokument zu versenden. Dies ist ein hocheffektives, neues Werkzeug im Arsenal einer der produktivsten Social-Engineering-Bedrohungsgruppen, die Mandiant verfolgt. Ihre Angriffe beschränken sich nicht nur auf Nichtregierungsorganisationen und Think-Tanks. Organisationen in einer Vielzahl von Branchen auf der ganzen Welt sind dem Risiko ausgesetzt, sich unnötig angreifbar zu machen. Eine ordnungsgemäße DMARC-Konfiguration in Verbindung mit einer ordnungsgemäßen SPF/DKIM-Verwaltung sind simple Maßnahmen, um Phishing und Spoofing einer Organisation wirkungsvoll zu verhindern,“ erklärt Gary Freas, Mandiant Senior Analyst bei Google Cloud.
Spearphishing bleibt eine große Gefahr
„Gmail setzt sich seit langem für eine starke Authentifizierung ein, die für die Gesundheit des gesamten offenen und vernetzten E-Mail-Ökosystems entscheidend ist. Standards wie DMARC tragen dazu bei, das Vertrauen in die Quelle und die Authentizität einer Nachricht zu stärken, was sowohl für die Empfänger als auch für die E-Mail-Versender von Vorteil ist. Aus diesem Grund verlangen wir seit kurzem, dass Massenversender DMARC und andere wichtige Sicherheits- und Authentifizierungsstandards implementieren, um Milliarden von Gmail-Nutzern zu schützen,“ so Neil Kumaran, Group Product Manager, Gmail Sicherheit & Vertrauen.