TA427 információgyűjtési művészete
A Proofpoint kutatói számos, államilag támogatott és államhoz kötődő fenyegető szereplőt követnek nyomon. A TA427 (más néven Emerald Sleet, APT43, THALLIUM vagy Kimsuky), a Koreai Népi Demokratikus Köztársasággal (KNDK vagy Észak-Korea) együttműködő csoport, amely a Reconnaissance General Bureau támogatásával dolgozik, különösen termékeny az e-mail adathalász kampányokban, amelyekben szakértőket céloznak meg, hogy betekintést nyerjenek az USA és a Koreai Köztársaság (ROK vagy Dél-Korea) külpolitikájába.
A TA427 2023 óta közvetlenül külpolitikai szakértőket keresett meg a nukleáris leszereléssel, az USA-ROK politikával és szankciós témákkal kapcsolatos véleményükre jóindulatú, beszélgetést indító e-mailek útján. Az elmúlt hónapokban a Proofpoint kutatói megfigyelték ennek a tevékenységnek a folyamatos, időnként növekvő áramlását. Míg kutatóink folyamatosan megfigyelték, hogy a TA427 a social engineering taktikákra támaszkodik, és rendszeresen forgatja az e-mail infrastruktúráját, 2023 decemberében a fenyegető szereplő elkezdett visszaélni a laza Domain-based Message Authentication, Reporting and Conformance (DMARC) szabályzatokkal, hogy különböző személyazonosságokat hamisítson, 2024 februárjában pedig elkezdte beépíteni a webjelzőket a célpontok profilozásához.
A TA427 rendszeresen részt vesz jóindulatú beszélgetésindító kampányokban, hogy kapcsolatot teremtsen a célpontokkal hosszú távú információcsere céljából az észak-koreai rezsim számára stratégiai fontosságú témákban.
A TA427 a speciálisan kialakított csalogató tartalmak használata mellett nagymértékben kihasználja az agytrösztökkel és a nem kormányzati szervezetekkel kapcsolatos személyiségeket, hogy legitimálja e-mailjeit, és növelje annak esélyét, hogy a célpontok kapcsolatba lépjenek a fenyegető szereplővel.
A TA427 a kiválasztott személyiségek álcázásához néhány taktikát alkalmaz, köztük a DMARC visszaélést ingyenes e-mail címekkel, a typosquattingot és a privát e-mail fiókok meghamisítását.
A TA427 a célpontok kezdeti felderítéséhez webjelzőket is beépített, amelyekkel olyan alapvető információkat állapít meg, mint például, hogy az e-mail fiók aktív.
A Proofpoint megosztotta az azonosításhoz szükséges mutatókat.