Sicherheitsexperten von ProofPoint haben aufgedeckt, dass nordkoreanische Hacker aktiv die DMARC-Technologie (Domain-based Message Authentication Reporting and Conformance) manipulieren, um ihre betrügerischen E-Mails als legitim erscheinen zu lassen.
DMARC ist ein Protokoll, das dazu dient, E-Mail-Spoofing und Phishing-Versuche zu verhindern. Durch die Kompromittierung von DMARC können Hacker E-Mail-Authentifizierungsprotokolle umgehen, was es ihnen ermöglicht, authentische Absender zu imitieren und Empfänger irrezuführen. Dies ermöglicht ihnen, glaubwürdigere und vorteilhaftere Phishing-Kampagnen durchzuführen, um entweder Geld zu verdienen oder Daten zu stehlen.
Missbrauch von DMARC durch TA427: Die nordkoreanische staatlich gesteuerte Gruppe TA427, auch bekannt als Emerald Sleet, APT43, THALLIUM und Kimsuky, führt gezielte Phishing-Kampagnen durch. Diese richten sich an Experten für US- und südkoreanische Außenpolitik des Aufklärungsgeneralbüros. Seit 2023 hat TA427 aktiv Meinungen von Außenpolitikexperten zu Themen wie nuklearer Abrüstung und US-ROK-Politik über scheinbar harmlose E-Mails eingeholt.
Innovative Taktiken zur Profilbildung: Im Dezember 2023 begann TA427, laxe DMARC-Richtlinien für das Spoofing von Personen zu missbrauchen und integrierte im Februar 2024 Web-Beacons zur Profilerstellung der Ziele. Diese Gruppe ist bekannt für ihre ausgeklügelten sozialen Ingenieurstechniken und nutzt maßgeschneiderte Inhalte, um vertrauensvolle Beziehungen aufzubauen und gezielte Informationen zu sammeln, ohne direkt Schadsoftware oder Credential Harvesting einzusetzen.
Langfristige Engagement-Strategien: TA427 lädt Ziele zu Diskussionen über Nordkorea ein und bittet um Perspektiven zu Abschreckungspolitiken und nuklearen Programmen. Dabei wechseln sie oft zwischen E-Mail-Adressen von Zielpersonen und deren Arbeitsplätzen. Diese Methode verbessert nicht nur die Zielgenauigkeit und Verbindungsaufbau für weitere Engagements, sondern unterstützt auch die nordkoreanische Regierung bei der Ausarbeitung von Verhandlungsstrategien.
Vielseitige Maskierungsmethoden: Die Gruppe maskiert ihre Identität durch die Vorgabe, Think Tanks, NGOs, Medienorganisationen, Bildungseinrichtungen und Regierungsbehörden zu sein. Sie nutzt DMARC-Missbrauch, Typosquatting und kostenlose E-Mail-Spoofing-Methoden zur Legitimierung ihrer Aktivitäten.
Erweiterte Aufklärung durch Web-Beacons: Seit Anfang Februar 2024 führt TA427 Aufklärungen über das aktive E-Mail-Verhalten der Opfer sowie die Empfängerumgebung mithilfe von Web-Beacons durch.
Die Forschungsergebnisse von Proofpoint zeigen, dass TA427 eine der aktivsten Gruppen ist, die ständig ihre Vorgehensweise und Infrastruktur anpasst, um gezielt Experten für die Informationsgewinnung oder den ersten Zugriff für nachrichtendienstliche Zwecke zu manipulieren, anstatt maximale Gewinne zu erzielen.