Spearphishing aus Nordkorea

B2B Cyber Security ShortNews

Beitrag teilen

Die US-Regierung warnt vor Bedrohungsakteuren aus Nordkorea. Demzufolge nutzen diese schwache E-Mail-DMARC-Einstellungen (Domain-based Message Authentication Reporting and Conformance), um gefälschte Spearphishing-E-Mails so zu versenden, als kämen sie von einer legitimen E-Mail-Adresse.

„Wir haben beobachtet, dass nordkoreanische Bedrohungsakteure wie APT43 die mangelhaften DMARC-Konfigurationen ausnutzen, um mit Leichtigkeit bekannte Einrichtungen an großen Universitäten, Denkfabriken und NGOs zu fälschen. Auf diese Weise konnten sie prominente Einrichtungen in speziellen Bereichen ins Visier nehmen und Informationen von hoher Priorität für das nordkoreanische Regime sammeln. Dies taten sie, indem sie die E-Mail-Adressen legitimer Benutzer von legitimen Organisationen fälschten, um die Opfer zu kontaktieren. Es ist ein weit verbreitetes, aber leicht zu behebendes Problem.

Spionieren für Nordkorea

Diese Taktik ermöglicht es den Bedrohungsakteuren, Informationen über bevorstehende Sanktionen westlicher Regierungen zu sammeln und Informationen über die nukleare Abschreckung und die Bewaffnung der USA sowie ihrer Verbündeten zu erlangen, damit sich das Regime besser vorbereiten kann. Die Bedrohungsakteure der DVRK können das Vertrauen, das sie bei ihrer Zielperson aufgebaut haben, auch nutzen, um später Malware über einen bösartigen Link oder ein angehängtes Dokument zu versenden. Dies ist ein hocheffektives, neues Werkzeug im Arsenal einer der produktivsten Social-Engineering-Bedrohungsgruppen, die Mandiant verfolgt. Ihre Angriffe beschränken sich nicht nur auf Nichtregierungsorganisationen und Think-Tanks. Organisationen in einer Vielzahl von Branchen auf der ganzen Welt sind dem Risiko ausgesetzt, sich unnötig angreifbar zu machen. Eine ordnungsgemäße DMARC-Konfiguration in Verbindung mit einer ordnungsgemäßen SPF/DKIM-Verwaltung sind simple Maßnahmen, um Phishing und Spoofing einer Organisation wirkungsvoll zu verhindern.“ Gary Freas, Mandiant Senior Analyst bei Google Cloud

„Gmail setzt sich seit langem für eine starke Authentifizierung ein, die für die Gesundheit des gesamten offenen und vernetzten E-Mail-Ökosystems entscheidend ist. Standards wie DMARC tragen dazu bei, das Vertrauen in die Quelle und die Authentizität einer Nachricht zu stärken, was sowohl für die Empfänger als auch für die E-Mail-Versender von Vorteil ist. Aus diesem Grund verlangen wir seit kurzem, dass Massenversender DMARC und andere wichtige Sicherheits- und Authentifizierungsstandards implementieren, um Milliarden von Gmail-Nutzern zu schützen.“ Neil Kumaran, Group Product Manager, Gmail Sicherheit & Vertrauen

Mehr bei Mandiant.com

 


Über Mandiant

Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.


 

Passende Artikel zum Thema

Schutzlösungen für MacOS Sonoma im Test

Der große Test von Schutz-Software für Unternehmen und Einzelplatz-PCs für MacOS fand im AV-TEST-Labor erstmals unter der MacOS Version Sonoma ➡ Weiterlesen

BSI: Neue Studie zu Hardware-Trojaner 

Das BSI hat eine Studie veröffentlicht zu Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen. Dabei geht es um versteckte Chips auf ➡ Weiterlesen

Intel schließt kritische und hochgefährliche Sicherheitslücken

Fast etwas unauffällig hat Intel viele Sicherheitslücken in seinen Produkten geschlossen. Mit dabei sind eine kritische Lücke mit dem CVSS-Wert ➡ Weiterlesen

BSI und Zero Day Initiative warnt vor kritischer Azure Schwachstelle  

Die Zero Day Initiative (ZDI) sammelt und verifiziert gemeldete Schwachstellen. Nun gibt es wohl eine kritische Schwachstelle in Azure mit dem ➡ Weiterlesen

Hoffnung für Unternehmen: FBI hat 7.000 LockBit Ransomware-Keys

Bereits im Februar und im Mai startete FBI, Europol und viele andere Behörden die Operationen gegen die Ransomware-Erpresser LockBit. Dabei ➡ Weiterlesen

Google-Leak: Datenbank belegt Datenpannen

Einem Journalist wurde eine Google-Datenbank zugespielt die tausende interne Datenpannen von 2013 bis 2018 enthalten und intern bei Google gelöst ➡ Weiterlesen

Keylogger stiehlt bei Exchange Servern Login-Daten

Das Incident Response Team des PT ESC hat einen neuartigen Keylogger in der Hauptseite eines Microsoft Exchange Servers entdeckt. Jeder ➡ Weiterlesen

Fluent Bit: Angriff auf Cloud-Dienste über Protokollierungs-Endpunkte

Tenable Research hat in Fluent Bit, einer Kernkomponente der Überwachungsinfrastruktur vieler Cloud-Dienste, eine kritische Sicherheitslücke namens „Linguistic Lumberjack“ entdeckt, die ➡ Weiterlesen