Sapphire Sleet APT
Съобщава се, че свързаната със Северна Корея заплашваща група, идентифицирана като Sapphire Sleet, е събрала над 10 милиона долара в криптовалута чрез схеми за социално инженерство, проведени в продължение на шест месеца. Изследванията показват, че различни групи заплахи, свързани със Северна Корея, създават измамни профили в LinkedIn. Тези профили, предназначени да имитират както вербовчици, така и търсещи работа, имат за цел да улеснят незаконните дейности и да генерират финансова подкрепа за строго санкционирания режим.
Активен най-малко от 2020 г., Sapphire Sleet споделя връзки с други хакерски обекти, като APT38 и BlueNoroff. През ноември 2023 г. изследователите разкриха, че групата е създала инфраструктура, имитираща платформи за оценка на уменията, използвайки тези сайтове, за да изпълни своите тактики за социално инженерство.
Съдържание
Измамни тактики, използвани от Sapphire Sleet
През изминалата година групата е използвала основно стратегия за представяне на рискови капиталисти, симулиращи интерес към бизнеса на целевата група, за да организира онлайн среща. Когато целите се опитват да се присъединят към срещата, те срещат съобщения за грешка, които ги инструктират да се свържат с администратора на срещата или екипа за поддръжка за помощ.
Ако жертвата се съобрази, нападателите предоставят AppleScript (.scpt) файл или Visual Basic Script (.vbs) файл, съобразен с операционната система на жертвата под прикритието за разрешаване на проблема. Зад кулисите тези скриптове са предназначени да разположат злонамерен софтуер на macOS или Windows устройството на жертвата, позволявайки на нападателите да събират идентификационни данни и да имат достъп до портфейли с криптовалута за последваща кражба.
Представяне на легитимно лице за заблуда на цели
Sapphire Sleet е наблюдаван да се представя за вербовчици за известни финансови институции, като Goldman Sachs, в LinkedIn. Тази тактика включва контакт с потенциални цели и поканата им да завършат оценка на уменията, хоствана на уебсайт, контролиран от участниците в заплахата.
На жертвите се предоставя акаунт за влизане и парола за достъп до измамния сайт. При влизане и изтегляне на файлове, свързани с предполагаемата оценка, те по невнимание инсталират злонамерен софтуер на своите устройства, предоставяйки на нападателите неоторизиран достъп до техните системи.
Освен това анализаторите на киберсигурността подчертаха разполагането на хиляди ИТ работници от Северна Корея в чужбина като част от многостранна стратегия. Тези работници генерират приходи за режима чрез легитимно наемане на работа, експлоатират достъпа си за кражба на интелектуална собственост и участват в кражба на данни срещу искания за откуп.
Поради ограниченията в Северна Корея, като например невъзможността за откриване на банкови сметки или получаване на телефонни номера, тези ИТ оператори разчитат на посредници, за да получат достъп до платформи, където могат да осигурят отдалечени работни места. Тези фасилитатори помагат при задачи като създаване на акаунти в сайтове за работа на свободна практика и създаване на фалшиви профили и портфолиа в платформи като GitHub и LinkedIn, за да взаимодействат с наематели и да кандидатстват за възможности за работа.
Киберпрестъпниците приемат AI-технологии в своите операции
В някои случаи е установено, че групата използва инструменти за изкуствен интелект (AI), като Faceswap, за да променя снимки и документи, получени от жертвите. Тези модифицирани изображения, често поставени в професионални настройки, след това се използват в автобиографии или профили - понякога под множество самоличности - изпратени за кандидатстване за работа.
Освен манипулирането на изображения за кандидатстване за работа, севернокорейските ИТ работници изследват и други AI технологии, включително софтуер за промяна на гласа, за да подобрят своите измамни усилия.
Севернокорейските ИТ работници изглежда поддържат добре организирана система за проследяване на плащанията, които получават. Смята се, че общите им усилия са генерирали поне $370 000 приходи.
