شقة Sapphire Sleet

أفادت التقارير أن مجموعة التهديد التابعة لكوريا الشمالية والتي تم تحديدها باسم Sapphire Sleet قد حصدت أكثر من 10 ملايين دولار من العملات المشفرة من خلال مخططات الهندسة الاجتماعية التي أجريت على مدى ستة أشهر. تشير نتائج الأبحاث إلى أن مجموعات التهديد المختلفة المرتبطة بكوريا الشمالية كانت تنشئ ملفات تعريف احتيالية على LinkedIn. تهدف هذه الملفات الشخصية، المصممة لتقليد كل من المجندين وطالبي الوظائف، إلى تسهيل الأنشطة غير المشروعة وتوليد الدعم المالي للنظام الخاضع لعقوبات شديدة.

منذ عام 2020 على الأقل، تشارك مجموعة Sapphire Sleet في الاتصالات مع كيانات قرصنة أخرى، مثل APT38 وBlueNoroff. في نوفمبر 2023، اكتشف الباحثون أن المجموعة أنشأت منصات لتقييم المهارات تحاكي البنية التحتية، مستغلة هذه المواقع لتنفيذ تكتيكات الهندسة الاجتماعية الخاصة بها.

التكتيكات الخادعة التي تستخدمها شركة Sapphire Sleet

على مدار العام الماضي، استخدمت المجموعة بشكل أساسي استراتيجية انتحال شخصية أصحاب رؤوس الأموال المغامرين، والتظاهر بالاهتمام بأعمال أحد الأهداف لترتيب اجتماع عبر الإنترنت. وعندما يحاول المستهدفون الانضمام إلى الاجتماع، يواجهون رسائل خطأ تأمرهم بالاتصال بمسؤول الاجتماع أو فريق الدعم للحصول على المساعدة.

إذا امتثل الضحية، يقدم المهاجمون ملف AppleScript (.scpt) أو ملف Visual Basic Script (.vbs) مصمم خصيصًا لنظام التشغيل الخاص بالضحية تحت ستار حل المشكلة. خلف الكواليس، تم تصميم هذه البرامج النصية لنشر برامج ضارة على جهاز macOS أو Windows الخاص بالضحية، مما يتيح للمهاجمين جمع بيانات الاعتماد والوصول إلى محافظ العملات المشفرة للسرقة لاحقًا.

انتحال شخصية كيان شرعي لخداع الأهداف

وقد لوحظ أن Sapphire Sleet ينتحل صفة مسؤولي التوظيف في المؤسسات المالية البارزة، مثل Goldman Sachs، على LinkedIn. ويتضمن هذا التكتيك الاتصال بالأهداف المحتملة ودعوتهم لإكمال تقييم المهارات المستضاف على موقع ويب يسيطر عليه ممثلو التهديد.

يتم تزويد الضحايا بحساب تسجيل دخول وكلمة مرور للوصول إلى الموقع الاحتيالي. وعند تسجيل الدخول وتنزيل الملفات المتعلقة بالتقييم المفترض، يقومون عن غير قصد بتثبيت برامج ضارة على أجهزتهم، مما يمنح المهاجمين إمكانية الوصول غير المصرح به إلى أنظمتهم.

بالإضافة إلى ذلك، سلط محللو الأمن السيبراني الضوء على قيام كوريا الشمالية بنشر آلاف العاملين في مجال تكنولوجيا المعلومات في الخارج كجزء من استراتيجية متعددة الأوجه. ويولد هؤلاء العمال إيرادات للنظام من خلال التوظيف المشروع، ويستغلون وصولهم إلى المعلومات لسرقة الملكية الفكرية والمشاركة في سرقة البيانات مقابل مطالبات فدية.

وبسبب القيود المفروضة داخل كوريا الشمالية، مثل عدم القدرة على فتح حسابات مصرفية أو الحصول على أرقام هواتف، يعتمد هؤلاء العاملون في مجال تكنولوجيا المعلومات على وسطاء للوصول إلى المنصات حيث يمكنهم تأمين وظائف عن بعد. ويساعد هؤلاء الميسرون في مهام مثل إنشاء حسابات على مواقع العمل المستقل وإنشاء ملفات تعريف وهمية ومحافظ أعمال على منصات مثل GitHub وLinkedIn للتفاعل مع المجندين والتقدم للحصول على فرص عمل.

مجرمو الإنترنت يعتمدون على تقنيات الذكاء الاصطناعي في عملياتهم

وفي بعض الحالات، تبين أن المجموعة تستغل أدوات الذكاء الاصطناعي، مثل Faceswap، لتعديل الصور والمستندات التي تم الحصول عليها من الضحايا. ثم تُستخدم هذه الصور المعدلة، التي غالبًا ما يتم وضعها في أماكن مهنية، في السير الذاتية أو الملفات الشخصية -أحيانًا تحت هويات متعددة- المقدمة لطلبات التوظيف.

وإلى جانب التلاعب بالصور في طلبات التوظيف، يستكشف العاملون في مجال تكنولوجيا المعلومات في كوريا الشمالية أيضاً تقنيات الذكاء الاصطناعي الأخرى، بما في ذلك برامج تغيير الصوت، لتعزيز جهودهم الخادعة.

ويبدو أن العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية يحتفظون بنظام منظم جيدًا لتتبع المدفوعات التي يتلقونها. وتشير التقديرات إلى أن جهودهم المشتركة أسفرت عن توليد إيرادات لا تقل عن 370 ألف دولار.