DMARC es un protocolo de autenticación de correo electrónico que ayuda a los propietarios de dominios a protegerse contra abusos como la suplantación de correo electrónico y los ataques de phishing.
Al aprovechar los protocolos existentes, como SPF y DKIM, DMARC permite a los propietarios de dominios crear políticas que dictan cómo los servidores receptores manejan el correo electrónico cuando fallan las comprobaciones de autenticación.
Los investigadores de Barracuda identificaron recientemente que los piratas informáticos norcoreanos de APT están explotando activamente las configuraciones erróneas de DMARC en ataques de phishing.
Los piratas informáticos aprovechan las configuraciones erróneas de DMARC
El panorama de la ciberseguridad se vio recientemente conmocionado por la sofisticada explotación de las vulnerabilidades de seguridad del correo electrónico por parte del grupo de hackers norcoreano Kimsuky, específicamente dirigida al protocolo DMARC mal configurado.
Este grupo APT, que opera bajo la Dirección General de Reconocimiento de Corea del Norte, lanzó una campaña estratégica de phishing eludiendo sistemas débiles de autenticación de correo electrónico como los controles 'SPF' y 'DKIM'.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Sus ataques se centraron principalmente en comprometer a los “think tanks”, las “organizaciones de noticias” y las “instituciones académicas”.
Se dirigen a estos usuarios creando correos electrónicos maliciosos que “parecen legítimos” mediante técnicas de “suplantación de dominio”.
Ataque por correo electrónico de Kimski (Fuente: Barracuda)
En lugar de utilizar configuraciones estrictas de “cuarentena” o “denegación”, muchas organizaciones implementaron políticas DMARC inadecuadas (ya sea establecidas en “ninguna” o configuradas incorrectamente), y estos correos electrónicos maliciosos eludieron con éxito las medidas de seguridad estándar.
Esta supervisión de seguridad permitió a 'Kimsuky' entregar contenido potencialmente dañino directamente a las bandejas de entrada de los usuarios.
Se ha observado que apuntan específicamente a información sensible relacionada con la “política exterior” y las “cuestiones nucleares”.
El incidente muestra cómo las “configuraciones técnicas erróneas” en los protocolos de autenticación de correo electrónico pueden provocar importantes vulnerabilidades de seguridad, incluso en sistemas aparentemente “bien protegidos”.
El grupo Kimsuky lleva a cabo ataques de phishing mediante una calculada estrategia de correo electrónico en dos pasos.
Inicialmente, envían correos electrónicos aparentemente legítimos haciéndose pasar por “instituciones confiables” para generar confianza con sus objetivos.
Una vez que gana confianza, comienza una “segunda fase” enviando “correos electrónicos de seguimiento” que contienen “cargas maliciosas” a través de “archivos adjuntos infectados” o “hipervínculos maliciosos”.
Sus ataques son especialmente poderosos si logran comprometer sistemas de correo electrónico legítimos. Esto les permite eludir importantes protocolos de autenticación de correo electrónico.
En un caso, invitaron a un objetivo a una “reunión sobre políticas de Corea del Norte” mediante el envío de un “correo electrónico de phishing”, pero el correo electrónico utilizaba un sistema de correo electrónico legítimo que fue pirateado, por lo que fue etiquetado como “SPF”. pasar la verificación “DKIM”.
Muchas organizaciones utilizan por error la función “DMARC”, que fomenta una política de “sólo monitor” que sólo registra las amenazas sin bloquearlas activamente.
Esto crea una “falsa y peligrosa sensación de seguridad” en torno a las direcciones de correo electrónico operativas, abriendo la puerta a ataques en los que los correos electrónicos no deseados ilegales y dañinos pueden pasar desapercibidos.
Recomendaciones
Todas las recomendaciones se enumeran a continuación: –
Utilice “Cuarentena” o “Rechazar” para correos electrónicos fallidos. Utilice protección de correo electrónico basada en IA para detectar amenazas avanzadas que DMARC podría pasar por alto. Realice simulaciones de phishing de forma regular.
Estrategias para proteger su sitio web y API de ataques de malware => Seminario web gratuito
North Korean APT Hackers Exploiting DMARC Misconfigs For Phishing Attacks
