KIMSUKY 在最近的网络钓鱼攻击中利用了 DMARC "无 "政策
朝鲜黑客组织 Kimsuky 利用许可 DMARC 政策发起网络钓鱼攻击
朝鲜黑客组织 Kimsuky 对网络世界来说并不陌生。这个高度复杂的威胁行动者组织再次活跃起来,现在他们瞄准具有许可 DMARC 政策的域,发起针对性极强的网络钓鱼攻击。
Kimsuky 组织介绍
Kimsuky 一直利用社交工程策略,经常使用电子邮件作为发起攻击的媒介。然而,在最近的攻击中,他们改变了策略,利用了无法提供保护的 DMARC 政策。这凸显了实践的必要性,使其成为组织安全的核心。
2024 年 5 月 2 日,联邦调查局(FBI)、美国国务院和国家安全局(NSA)发布了一份警告说,Kimsuky 利用允许的 DMARC 政策发起鱼叉式网络钓鱼攻击。让我们深入探讨一下!
黑客组织他们有很多名字——“天鹅绒 Chollima”、“黑色女妖”和“翡翠雪花”就是其中的几个。Kimsuky 起源于朝鲜,开始针对韩国的研究和政策机构、核电运营商和部级机构发起网络间谍攻击。虽然这个黑客组织可能已经活跃了十多年,但他们最近扩大了视野,将目标对准了俄罗斯、美国和欧洲的组织。
什么是 DMARC
您的是 DMARC 记录中的一个必填字段,它决定了客户端对 DMARC 失败邮件采取的措施。DMARC 策略可以指示接收服务器丢弃或隔离未通过的邮件。在“不采取行动”模式下,它还可以指示服务器不采取任何行动!朝鲜黑客组织 Kimsuky 将目标锁定在采用无动作 DMARC 策略的域上,以利用这些域缺乏保护的弱点。这为他们提供了更高的成功发送网络钓鱼电子邮件的机会。
作为域名所有者,您可以从三种 DMARC 策略中选择一种:无、拒绝和隔离。顾名思义,“无”是一种不采取行动的策略,而“拒绝”和“隔离”则是拒绝和隔离未经授权的电子邮件。
要配置策略,需要在创建 DMARC 记录时将 p= 标记添加到记录中。 DMARC 无策略是允许的。它是一种不提供网络攻击保护的策略模式。但这是否意味着它没有任何作用呢?事实并非如此。DMARC none 通常用于电子邮件验证之旅的起始阶段,也就是“仅监控”阶段。该模式可用作测试配置和监控电子邮件流量的控制手段。但是,我们不鼓励长期使用这种策略,因为它会使您的域名容易受到网络攻击。您的最终目标应该是安全地转入执行模式。
下面是使用许可或弱 DMARC 策略的 DMARC 记录示例:
这里的 p=none 标签表示策略设置为“无”,不提供任何保护。此外,该 DMARC 记录没有设置任何“rua”标记,因此 DMARC“无”策略的监控目的没有得到利用。DMARC 无策略有一个显著的缺点,在某些情况下可能会对您造成损害。这就是,当使用无策略时,即使 DMARC 对您的电子邮件失效,电子邮件仍会发送给收件人。这意味着,如果您的域名被威胁行为者欺骗,向您的客户发送钓鱼邮件、
2023 年至 2024 年间,联邦机构在其公告中警告了多个版本的 Kimsuky 攻击。让我们探讨一些关键要点,以了解 Kimsuky 的攻击策略:
联邦调查局的预防措施
联邦调查局在 IC3 报告中概述了几项预防措施,您可以采取这些措施来防止最近的 Kimsuky 攻击。让我们来探讨一下这些措施:
为防止 Kimsuky 利用薄弱的 DMARC 策略,请改用强制策略等更强大的策略。“隔离”和“拒绝”是您可以配置的两种策略模式。在这些策略中,冒充的网络钓鱼邮件会被丢弃或隔离,而不是直接发送到客户的收件箱中。
但是,如果配置不当,您的合法电子邮件也可能被丢弃!因此,在配置强制策略时一定要谨慎。下面介绍如何安全地实施 DMARC 拒绝:
:
当使用 p=reject 时,您必须定期监控您的电子邮件流量,以确保您的合法邮件能够送达。我们的 DMARC 报告工具简化了 DMARC 报告管理,以确保可送达性。立即开始使用,安全过渡到强制策略并加强对 Kimsuky 的防御!
联邦调查局概述了网络钓鱼电子邮件中的几个警告标志,这些标志可能是致命的线索。让我们一起来看看都有哪些:
所有这些都可能是 Kimsuky 网络钓鱼攻击的预兆。在这种情况下,建议最好不要浏览电子邮件内容或点击任何附件。
最近,利用许可 DMARC 政策的 Kimsuky 攻击再次兴起,这进一步证明了网络攻击不断变化的本质。正如我们所看到的那样,它们善于利用不采取行动的 DMARC 政策,这凸显了企业实施更有力的措施来防范网络钓鱼攻击的迫切需要。
联邦调查局、美国国务院和美国国家安全局发布的联合警告明确提醒人们注意此类威胁行为者带来的迫在眉睫的危险。通过转向强制执行 DMARC 政策并对联邦机构列出的警告信号保持警惕,企业可以加强防御,降低成为 Kimsuky 复杂战术受害者的风险。
企业和实体必须积极主动地调整和更新安全协议。开始行动
今天就联系我们!