Az NSA és az FBI arra figyelmeztetett, hogy az APT43 észak-koreai hackercsoport a gyengén beállított e-mail DMARC rekordokat használja ki a spearphishing támadások elfedésére.
A támadók a rosszul konfigurált DMARC szabályokkal visszaélve hamisított e-maileket küldenek, amelyek látszólag hiteles forrásoktól, például újságíróktól, akadémikusoktól és más szakértőktől származnak.
A spearphishing kampány során tanácsadó szervezeteket, kutatóközpontokat, tudományos intézményeket és médiaszervezeteket céloznak meg az Egyesült Államokban, Európában, Japánban és Dél-Koreában.
A cél az országokra vonatkozó naprakész információk megszerzése, Észak-Korea nemzeti hírszerzési céljainak támogatása, és a rezsim biztonságát és stabilitását fenyegető bármilyen észlelt politikai, katonai vagy gazdasági fenyegetés megakadályozása.
Ezekben a támadásokban kihasználják a hiányzó, vagy a “p=none” konfigurációjú DMARC rekordot, amelyek azt mondják a fogadó e-mail kiszolgálónak, hogy ne tegyen lépéseket a DMARC ellenőrzéseket nem teljesítő üzenetekkel kapcsolatban. Ez lehetővé teszi, hogy az APT43 által hamisított spearphishing e-mailek elérjék a célpontok postafiókjait.
A fenyegetés mérséklése érdekében az FBI, az Egyesült Államok Külügyminisztériuma és az NSA azt tanácsolja a szervezeteknek, hogy frissítsék a DMARC biztonsági szabályzatát a “v=DMARC1; p=quarantine;” vagy “v=DMARC1; p=reject;” konfigurációk használatára.
Az első arra utasítja az e-mail kiszolgálókat, hogy a DMARC ellenőrzést nem teljesítő e-maileket karanténba helyezzék és potenciális spamként jelöljék meg, míg a második arra utasítja őket, hogy blokkoljanak minden olyan e-mailt, amely nem felel meg a DMARC ellenőrzésnek.
A DMARC házirendben a “p” mező beállítása mellett az ügynökségek azt javasolják, hogy a szervezetek állítsanak be más DMARC házirend mezőket is, például a “rua” mezőt, hogy összesített jelentéseket kapjanak az állítólag a szervezet tartományából származó e-mail üzenetek DMARC eredményeiről.
