O governo dos Estados Unidos publicou um novo aviso de cibersegurança alertando sobre as tentativas de atores ameaçadores da Coreia do Norte de enviar e-mails de forma a parecerem que são de partes legítimas e confiáveis. O boletim conjunto foi publicado pela Agência de Segurança Nacional (NSA), pelo Federal Bureau of Investigation (FBI) e pelo Departamento de Estado. A técnica especificamente diz respeito à exploração de políticas de registros de Autenticação, Relato e Conformidade de Mensagens baseadas em Domínio de como configuradas para esconder tentativas de engenharia social. Desta forma, os atores ameaçadores podem enviar e-mails falsificados como se fossem do servidor de e-mail de um domínio legítimo. O abuso de políticas DMARC fracas foi atribuído a um grupo de atividades norte-coreano rastreado pela comunidade de cibersegurança sob o nome Kimsuky. Em um relatório publicado recentemente, a Proofpoint afirmou que o Kimsuky começou a incorporar este método em dezembro de 2023 como parte de esforços mais amplos para direcionar especialistas em política externa por suas opiniões sobre tópicos relacionados ao desarmamento nuclear, políticas Estados Unidos-Coreia do Sul e sanções. Descrevendo o adversário como um “especialista em engenharia social astuto”, a empresa de segurança empresarial disse que o grupo de hackers é conhecido por engajar seus alvos por longos períodos de tempo através de uma série de conversas benignas para construir confiança com eles, usando vários nomes falsos que se passam por especialistas em assuntos da Coreia do Norte em grupos de reflexão, academia, jornalismo e pesquisa independente. A empresa também observou que muitas das entidades que o Kimsuky fingiu não habilitaram ou reforçaram políticas DMARC, permitindo assim que tais mensagens de e-mail passem pelos controles de segurança e garantindo a entrega mesmo se esses controles falharem. Além disso, observou-se que o Kimsuky utiliza “endereços de e-mail gratuitos fingindo ser a mesma pessoa no campo de resposta para convencer o alvo de que está interagindo com pessoal legítimo”. Em um e-mail destacado pelo governo dos EUA, o ator ameaçador se passou por um jornalista legítimo buscando uma entrevista de um especialista não identificado para discutir os planos de armamento nuclear da Coreia do Norte, mas observou abertamente que sua conta de e-mail seria bloqueada temporariamente e instou o destinatário a responder-lhes em seu e-mail pessoal, que era uma conta falsa imitando o jornalista. Isso indica que a mensagem de phishing foi originalmente enviada da conta comprometida do jornalista, aumentando assim as chances de que a vítima respondesse à conta falsa. As organizações são recomendadas a atualizar suas políticas DMARC para instruir seus servidores de e-mail a tratar as mensagens de e-mail que falham nas verificações como suspeitas ou como spam (ou seja, quarentena ou rejeição) e a receber relatórios de feedback agregados configurando um endereço de e-mail no registro DMARC.