Barracuda full logo

Como os grupos APT norte-coreanos exploram configurações incorretas de DMARC — e o que pode fazer a esse respeito

Tópicos:
2 out. 2024
|
Sheila Hara

No mundo da segurança de e-mail, nada é infalível — especialmente quando configurações incorretas abrem a porta para ataques. Recentemente, o grupo de cibercrime norte-coreano Kimsuky demonstrou o quão perigosas essas vulnerabilidades podem ser, utilizando políticas mal configuradas de Domain-based Message Authentication, Reporting & Conformance (DMARC) para realizar campanhas de spear phishing. Isto não é apenas uma preocupação geopolítica; é um lembrete de que falhas na segurança de e-mail, por menores que sejam, podem ser exploradas por qualquer pessoa com intenções maliciosas.

O que aconteceu?

Kimsuky é um grupo de ameaças persistentes avançadas (APT) que atua sob o Gabinete Geral de Reconhecimento da Coreia do Norte. Este atacante tem como alvo especialistas em think tanks, media e academia para recolher inteligência. A estratégia deles? Spoofing de domínios legítimos ao contornar protocolos DMARC fracos ou mal configurados. O FBI e a NSA emitiram um aviso conjunto sobre estas campanhas, que são projetadas para extrair informações sensíveis, particularmente sobre política externa e questões nucleares.

Porque o DMARC é importante

O DMARC deve proteger contra este tipo de ataques por e-mail. Funciona verificando a autenticidade dos e-mails usando SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). Se um e-mail falhar nestas verificações, o DMARC informa o servidor de e-mail sobre o que fazer a seguir — colocar em quarentena, rejeitar ou permitir a passagem do e-mail com base na política definida.

Exemplo de um ataque por e-mail Kimsuki (Fonte: Consultoria Conjunta de Cibersegurança)

Exemplo de um ataque por e-mail Kimsuki (Fonte: Consultoria Conjunta de Cibersegurança)

Infelizmente, o DMARC só pode fazer o seu trabalho se estiver configurado corretamente. Muitas organizações definem políticas de DMARC fracas ou incompletas, permitindo que e-mails maliciosos passem despercebidos. No caso da Kimsuky, os atacantes usaram e-mails falsificados que pareciam reais e passaram nas verificações iniciais, mas o DMARC não estava configurado para filtrar ou bloquear estas tentativas. O resultado? E-mails maliciosos chegam diretamente à caixa de entrada.

O ataque em ação

Aqui está como funciona: Kimsuky começa com um email que parece ser de uma fonte credível, como uma universidade ou instituto de pesquisa. O primeiro email pode parecer inofensivo, destinado a criar confiança. Uma vez estabelecida essa confiança, chega um segundo email com um anexo ou link malicioso. Em alguns casos, os atacantes conseguem até mesmo aceder a sistemas de email legítimos, tornando as suas tentativas de phishing ainda mais convincentes.

Um exemplo? Um e-mail de spear-phishing convidando um alvo para falar numa conferência sobre a política da Coreia do Norte. O e-mail passou nos testes SPF e DKIM porque os atacantes tinham acesso ao sistema legítimo. Mas o DMARC não estava configurado corretamente, por isso, apesar de alguns sinais de alerta, o e-mail foi entregue.

Configurações incorretas são comuns — e perigosas

O que torna isto particularmente preocupante é que as configurações incorretas de DMARC são mais comuns do que se pensa. Muitas organizações não atualizam ou monitorizam regularmente as suas definições de DMARC. Algumas podem nem sequer ter uma configurada, deixando-as completamente vulneráveis a ataques. Mesmo quando o fazem, uma política de "monitorização" (que regista ameaças sem tomar medidas) é demasiado comum. Isto dá às organizações uma falsa sensação de segurança e permite que e-mails maliciosos passem despercebidos.

Como defender-se contra isto

Você precisa de uma estratégia de defesa em camadas. Aqui estão três passos chave a seguir:

  1. Ajuste o seu DMARC corretamente: Defina a sua política DMARC para "quarentena" ou "rejeitar" e-mails que não passem nas verificações SPF e DKIM. Uma política de "monitorização" pode parecer um primeiro passo seguro, mas sem ação, continua exposto.
  2. Invista em soluções baseadas em IA: As ameaças por e-mail estão a tornar-se mais sofisticadas, e o DMARC por si só pode não ser suficiente. As soluções de proteção de e-mail baseadas em IA da Barracuda, por exemplo, podem detetar padrões de e-mail invulgares e comportamentos suspeitos, mesmo quando parecem passar nos controlos tradicionais.
  3. Forme a sua equipa: Os humanos são muitas vezes o elo mais fraco na cadeia de segurança. Simulações regulares de phishing e formação podem reduzir significativamente o risco de alguém clicar num e-mail malicioso. Barracuda Phishing e Proteção contra Falsificação de Identidade podem ajudar os seus colaboradores a reconhecer sinais de alerta antes que seja tarde demais.

A linha de fundo

Grupos de ciberespionagem como o Kimsuky estão constantemente à procura de formas de explorar pontos fracos na segurança de e-mail. As configurações incorretas de DMARC oferecem uma entrada fácil. Mas com as ferramentas, configurações e formação adequadas, pode fechar essas lacunas e manter a sua organização segura. Quer esteja preocupado com atores estatais ou com cibercriminosos mais comuns, acertar na segurança de e-mail é inegociável. E para empresas como a sua, cada camada de segurança é importante.

Veja como pode defender a sua marca de cibercriminosos
Sheila Hara

Sheila Hara é uma experiente Diretora Sénior de Gestão de Produto na Barracuda. Com foco em segurança, entrega de aplicações e soluções de proteção de e-mail, Sheila supervisiona todo o ciclo de vida do produto, desde a conceção até à entrega no mercado. Ela destaca-se na colaboração com equipas interfuncionais e partes interessadas para impulsionar a inovação e oferecer um valor excecional ao mercado.


Artigos Relacionados:
BarracudaONE: Benefícios para um dos primeiros utilizadores
BarracudaONE: Benefícios para um dos primeiros utilizadores
 Threat Spotlight: kit de phishing Tycoon revela novas técnicas para ocultar links maliciosos
Threat Spotlight: kit de phishing Tycoon revela novas técnicas para ocultar links maliciosos
 De volta às aulas, de volta aos esquemas fraudulentos
De volta às aulas, de volta aos esquemas fraudulentos
 Destaque de Ameaça: Códigos QR divididos e aninhados alimentam nova geração de ataques de 'quishing'
Destaque de Ameaça: Códigos QR divididos e aninhados alimentam nova geração de ataques de 'quishing'
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.