Spearphishing aus Nordkorea

B2B Cyber Security ShortNews

Beitrag teilen

Die US-Regierung warnt vor Bedrohungsakteuren aus Nordkorea. Demzufolge nutzen diese schwache E-Mail-DMARC-Einstellungen (Domain-based Message Authentication Reporting and Conformance), um gefälschte Spearphishing-E-Mails so zu versenden, als kämen sie von einer legitimen E-Mail-Adresse.

„Wir haben beobachtet, dass nordkoreanische Bedrohungsakteure wie APT43 die mangelhaften DMARC-Konfigurationen ausnutzen, um mit Leichtigkeit bekannte Einrichtungen an großen Universitäten, Denkfabriken und NGOs zu fälschen. Auf diese Weise konnten sie prominente Einrichtungen in speziellen Bereichen ins Visier nehmen und Informationen von hoher Priorität für das nordkoreanische Regime sammeln. Dies taten sie, indem sie die E-Mail-Adressen legitimer Benutzer von legitimen Organisationen fälschten, um die Opfer zu kontaktieren. Es ist ein weit verbreitetes, aber leicht zu behebendes Problem.

Anzeige

Spionieren für Nordkorea

Diese Taktik ermöglicht es den Bedrohungsakteuren, Informationen über bevorstehende Sanktionen westlicher Regierungen zu sammeln und Informationen über die nukleare Abschreckung und die Bewaffnung der USA sowie ihrer Verbündeten zu erlangen, damit sich das Regime besser vorbereiten kann. Die Bedrohungsakteure der DVRK können das Vertrauen, das sie bei ihrer Zielperson aufgebaut haben, auch nutzen, um später Malware über einen bösartigen Link oder ein angehängtes Dokument zu versenden. Dies ist ein hocheffektives, neues Werkzeug im Arsenal einer der produktivsten Social-Engineering-Bedrohungsgruppen, die Mandiant verfolgt. Ihre Angriffe beschränken sich nicht nur auf Nichtregierungsorganisationen und Think-Tanks. Organisationen in einer Vielzahl von Branchen auf der ganzen Welt sind dem Risiko ausgesetzt, sich unnötig angreifbar zu machen. Eine ordnungsgemäße DMARC-Konfiguration in Verbindung mit einer ordnungsgemäßen SPF/DKIM-Verwaltung sind simple Maßnahmen, um Phishing und Spoofing einer Organisation wirkungsvoll zu verhindern.“ Gary Freas, Mandiant Senior Analyst bei Google Cloud

„Gmail setzt sich seit langem für eine starke Authentifizierung ein, die für die Gesundheit des gesamten offenen und vernetzten E-Mail-Ökosystems entscheidend ist. Standards wie DMARC tragen dazu bei, das Vertrauen in die Quelle und die Authentizität einer Nachricht zu stärken, was sowohl für die Empfänger als auch für die E-Mail-Versender von Vorteil ist. Aus diesem Grund verlangen wir seit kurzem, dass Massenversender DMARC und andere wichtige Sicherheits- und Authentifizierungsstandards implementieren, um Milliarden von Gmail-Nutzern zu schützen.“ Neil Kumaran, Group Product Manager, Gmail Sicherheit & Vertrauen

Mehr bei Mandiant.com

 


Über Mandiant

Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.


 

Passende Artikel zum Thema

Microsoft Patchday: Über 1.000 Sicherheitsupdates im Februar 2025  

Vom 6. bis 11. Februar hat Microsoft zum Patchday 1.212 Hinweise und Sicherheitsupdates für seine Services und Systeme bereitgestellt. Darunter ➡ Weiterlesen

Backdoor in Überwachungsmonitor als Schwachstelle eingestuft

Am 30. Januar veröffentlichte die US-amerikanische Cybersicherheitsbehörde CISA eine Warnung zu einer Backdoor in medizinischen Überwachungsmonitoren, die durch eine Benachrichtigung ➡ Weiterlesen

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Cyberkriminelle: Skepsis gegenüber KI – Hoffnung bei DeepSeek

Eine Untersuchung von Sophos X-Ops in ausgewählten Cybercrime-Foren ergab, dass Bedrohungsakteure die KI nach wie vor nicht intensiv für ihre ➡ Weiterlesen

Software-Tester: Fake-Jobangebote mit Malware aus Nordkorea

Über eine aktive Kampagne mit gefälschten Jobangeboten auf LinkedIn greifen Hacker Bewerber an: Im Rahmen des Bewerbungsverfahrens erhalten die Angreifer ➡ Weiterlesen

Report: Gemini wird von staatlichen Hackergruppen missbraucht 

Die Google Threat Intelligence Group (GTIG) zeigt in einem Bericht, dass besonders iranische, chinesische, nordkoreanische und russische Hackergruppen auf die ➡ Weiterlesen

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen