Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst

Deze groep werkt ter ondersteuning van het Recconaissance General Bureau en is bijzonder productief in e-mail phishingcampagnes die zich richten op experts op het gebied van buitenlands beleid van de Verenigde Staten en Zuid-Korea.

Afbeelding 1. Aantal phishingcampagnes van TA427 van januari 2023 tot maart 2024.

De onderzoekers nemen de afgelopen maanden een gestage en soms toenemende stroom van activiteiten waar. TA427 vertrouwt consequent op social engineering-tactieken en roteert regelmatig zijn e-mailinfrastructuur. Maar, in december 2023 begon de dreigingsactor met het misbruiken van het lakse Domain-based Message Authentication, Reporting & Comformance (DMARC)-beleid. Het doel hiervan was het nabootsen van verschillende persona’s. In februari 2024 begon TA427 met het gebruik van webbakens voor het profileren van doelwitten.

Social engineering
TA427 is een slimme social-engineeringexpert van wie de campagnes waarschijnlijk dienen ter ondersteuning van de inspanningen van Noord-Korea voor het verzamelen van strategische inlichtingen over initiatieven van de VS en Zuid-Korea rondom buitenlands beleid. Op basis van de geïdentificeerde doelwitten en gezochte informatie, is de veronderstelling dat TA427 de Noord-Koreaanse inlichtingsdiensten versterkt en informeert naar onderhandelingstactieken voor buitenlands beleid (zie voorbeeld afbeelding 2).

Afbeelding 2. Voorbeeld van een TA427-campagne die zich richt op de VS tijdens een verkiezingsjaar.

Doelwitten worden vaak gevraagd hun gedachten over tijdgevoelige momenten, zoals het testen van raketten of over de situatie tussen China en Taiwan, te delen via e-mail, of via een formeel onderzoeksartikel of document. TA427 past zijn lokmiddel per slachtoffer aan. TA427 verweeft ook conversaties in meerdere e-mailgesprekken tussen de persoonlijke en zakelijke e-mailadressen van een doelwit. Dit doet de dreigingsactor waarschijnlijk voor het omzeilen van securitycontroles op zakelijke e-mailgateways. TA427 richt zich voornamelijk op denktanks, niet-gouvernementele organisaties, media, wetenschappers en de overheid.

DMARC spoofing
DMARC is een open e-mailauthenticatieprotocol wat is ontworpen ter bescherming van domeinnamen tegen cybercriminaliteit. Het controleert of het opgegeven domein van de afzender niet is gekopieerd voor de e-mail de ontvanger bereikt. Het bevat drie niveaus van bescherming: monitor, quarantine en reject. Monitor (staat toe dat ongekwalificeerde e-mails naar de inbox of andere mappen van de ontvanger gaan), quarantine (stuurt ongekwalificeerde e-mails naar de spamfolder of de ongewenste e-mails), en reject, de hoogste graad van bescherming, verhindert dat ongekwalificeerde e-mails de ontvanger bereiken.

Veel van de entiteiten die TA427 spooft, hebben sinds december 2023 hun DMARC-beleid niet ingeschakeld of gehandhaafd. Gespoofte e-mails kunnen met een permissief DMARC-beleid, zoals v=DMARC1; p=none; fo=1, de securitycontroles omzeilen. Dit garandeert de aflevering bij de beoogde gebruiker. Zelfs als de securitycontroles falen. De dreigingsactor gebruikt dan vrije e-mailadressen die dezelfde persona in het beantwoordveld gebruiken bij het spoofen van het doelwit, met als doel het slachtoffer te overtuigen dat ze met een legitiem persoon te maken hebben.

Webbaken
Het gebruik van webbakens is een nieuwe tactiek voor TA427. Webbaken, ook bekend als trackingpixels, trackingbakens en webbugs en waarvan bekend is dat ze worden gebruikt door andere actoren van geavanceerde aanhoudende dreigingen, bevatten een hyperlink met een niet-zichtbaar object in de hoofdtekst van een e-mail. Als dit is ingeschakeld, dan probeert deze een goedaardig afbeeldingsbestand op te halen van een door de actor gecontroleerde server. De webbakens zijn waarschijnlijk bedoeld als eerste verkenning voor het valideren of gerichte e-mails actief zijn en voor het verkrijgen van fundamentele informatie over de netwerkomgeving van de ontvangers. Denk aan van buitenaf zichtbare IP-adressen, User-Agent van de host en het tijdstip waarop de gebruiker de e-mail opende.

Afbeelding 3. Voorbeeld van TA427 die een webbaken gebruikt.

TA427 is een van de meest actieve, door de staat gesteunde dreigingsactoren die Proofpoint momenteel volgt. Hoewel de campagnes geen miljoenen afhandig maken, richten deze activiteiten zich op iets dat oneindig veel moeilijker te kwantificeren is: informatie en invloed. Deze dreigingsactor doet zich jarenlang voor als belangrijke materiedeskundigen van Noord-Korea in de academische wereld, de journalistiek en onafhankelijk onderzoek. Om zo andere deskundigen als doelwit te kiezen en voet aan de grond te krijgen bij hun respectieve organisaties voor het verzamelen van strategische inlichtingen voor lange termijn. TA427 toont geen tekenen van vertraging of verlies van zijn behendigheid in het aanpassen van zijn tactieken en het opzetten van nieuwe infrastructuur en personages met snelheid.