Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst
![]() |
Onderzoekers van Proofpoint volgen verschillende dreigingsactoren, waaronder TA427. Deze dreigingsactor is ook bekend als Emerald Sleet, APT43, THALLIUM of Kimsuky en wordt gelieerd aan Noord-Korea. Deze groep werkt ter ondersteuning van het Recconaissance General Bureau en is bijzonder productief in e-mail phishingcampagnes die zich richten op experts op het gebied van buitenlands beleid van de Verenigde Staten en Zuid-Korea.
|
![]() |
Afbeelding 1. Aantal phishingcampagnes van TA427 van januari 2023 tot maart 2024. |
De onderzoekers nemen de afgelopen maanden een gestage en soms toenemende stroom van activiteiten waar. TA427 vertrouwt consequent op social engineering-tactieken en roteert regelmatig zijn e-mailinfrastructuur. Maar, in december 2023 begon de dreigingsactor met het misbruiken van het lakse Domain-based Message Authentication, Reporting & Comformance (DMARC)-beleid. Het doel hiervan was het nabootsen van verschillende persona’s. In februari 2024 begon TA427 met het gebruik van webbakens voor het profileren van doelwitten.
Social engineering TA427 is een slimme social-engineeringexpert van wie de campagnes waarschijnlijk dienen ter ondersteuning van de inspanningen van Noord-Korea voor het verzamelen van strategische inlichtingen over initiatieven van de VS en Zuid-Korea rondom buitenlands beleid. Op basis van de geïdentificeerde doelwitten en gezochte informatie, is de veronderstelling dat TA427 de Noord-Koreaanse inlichtingsdiensten versterkt en informeert naar onderhandelingstactieken voor buitenlands beleid (zie voorbeeld afbeelding 2). |
![]() |
Afbeelding 2. Voorbeeld van een TA427-campagne die zich richt op de VS tijdens een verkiezingsjaar. |
|
Doelwitten worden vaak gevraagd hun gedachten over tijdgevoelige momenten, zoals het testen van raketten of over de situatie tussen China en Taiwan, te delen via e-mail, of via een formeel onderzoeksartikel of document. TA427 past zijn lokmiddel per slachtoffer aan. TA427 verweeft ook conversaties in meerdere e-mailgesprekken tussen de persoonlijke en zakelijke e-mailadressen van een doelwit. Dit doet de dreigingsactor waarschijnlijk voor het omzeilen van securitycontroles op zakelijke e-mailgateways. TA427 richt zich voornamelijk op denktanks, niet-gouvernementele organisaties, media, wetenschappers en de overheid.
DMARC spoofing DMARC is een open e-mailauthenticatieprotocol wat is ontworpen ter bescherming van domeinnamen tegen cybercriminaliteit. Het controleert of het opgegeven domein van de afzender niet is gekopieerd voor de e-mail de ontvanger bereikt. Het bevat drie niveaus van bescherming: monitor, quarantine en reject. Monitor (staat toe dat ongekwalificeerde e-mails naar de inbox of andere mappen van de ontvanger gaan), quarantine (stuurt ongekwalificeerde e-mails naar de spamfolder of de ongewenste e-mails), en reject, de hoogste graad van bescherming, verhindert dat ongekwalificeerde e-mails de ontvanger bereiken.
Veel van de entiteiten die TA427 spooft, hebben sinds december 2023 hun DMARC-beleid niet ingeschakeld of gehandhaafd. Gespoofte e-mails kunnen met een permissief DMARC-beleid, zoals v=DMARC1; p=none; fo=1, de securitycontroles omzeilen. Dit garandeert de aflevering bij de beoogde gebruiker. Zelfs als de securitycontroles falen. De dreigingsactor gebruikt dan vrije e-mailadressen die dezelfde persona in het beantwoordveld gebruiken bij het spoofen van het doelwit, met als doel het slachtoffer te overtuigen dat ze met een legitiem persoon te maken hebben.
Webbaken Het gebruik van webbakens is een nieuwe tactiek voor TA427. Webbaken, ook bekend als trackingpixels, trackingbakens en webbugs en waarvan bekend is dat ze worden gebruikt door andere actoren van geavanceerde aanhoudende dreigingen, bevatten een hyperlink met een niet-zichtbaar object in de hoofdtekst van een e-mail. Als dit is ingeschakeld, dan probeert deze een goedaardig afbeeldingsbestand op te halen van een door de actor gecontroleerde server. De webbakens zijn waarschijnlijk bedoeld als eerste verkenning voor het valideren of gerichte e-mails actief zijn en voor het verkrijgen van fundamentele informatie over de netwerkomgeving van de ontvangers. Denk aan van buitenaf zichtbare IP-adressen, User-Agent van de host en het tijdstip waarop de gebruiker de e-mail opende. |
![]() |
Afbeelding 3. Voorbeeld van TA427 die een webbaken gebruikt. |
TA427 is een van de meest actieve, door de staat gesteunde dreigingsactoren die Proofpoint momenteel volgt. Hoewel de campagnes geen miljoenen afhandig maken, richten deze activiteiten zich op iets dat oneindig veel moeilijker te kwantificeren is: informatie en invloed. Deze dreigingsactor doet zich jarenlang voor als belangrijke materiedeskundigen van Noord-Korea in de academische wereld, de journalistiek en onafhankelijk onderzoek. Om zo andere deskundigen als doelwit te kiezen en voet aan de grond te krijgen bij hun respectieve organisaties voor het verzamelen van strategische inlichtingen voor lange termijn. TA427 toont geen tekenen van vertraging of verlies van zijn behendigheid in het aanpassen van zijn tactieken en het opzetten van nieuwe infrastructuur en personages met snelheid.
Klik hier voor het volledige Engelstalige bericht. |
Meer over
Lees ook
ESET Research: Hamster Kombat-game misbruikt door cybercriminelen
De afgelopen maanden heeft het Telegram-klikspel Hamster Kombat de wereld van liefhebbers van cryptocurrency-spellen op zijn kop gezet. Zoals te verwachten was, heeft het succes van Hamster Kombat ook cybercriminelen gelokt, die al zijn begonnen met het inzetten van malware gericht op de spelers van het spel.
KnowBe4 en Microsoft werken samen aan nieuwe Office-functionaliteit tegen phishing
KnowBe4, aanbieder van ’s werelds grootste platform voor security awareness en gesimuleerde phishing, kondigt de nieuwe Microsoft Ribbon Phish Alert Button (PAB) aan. Deze functionaliteit voor Outlook is ontwikkeld in samenwerking met Microsoft voor het verhogen van e-mailbeveiliging en het vereenvoudigen van het melden van phishing.
Kaspersky ontdekt phishingtechnieken die tweefactorauthenticatie omzeilen
Kaspersky heeft een geavanceerde ontwikkeling van phishingtechnieken ontdekt die cybercriminelen gebruiken om twee-factor authenticatie (2FA) te omzeilen. Aanvallers hebben methoden ontwikkeld waarbij phishing wordt gecombineerd met geautomatiseerde OTP-bots om zo gebruikers te misleiden en ongeautoriseerde toegang tot hun accounts te krijgen.