Sapphire Sleet APT
Skupina hrozeb přidružená k Severní Koreji identifikovaná jako Sapphire Sleet údajně sklidila více než 10 milionů dolarů v kryptoměnách prostřednictvím schémat sociálního inženýrství prováděných v průběhu šesti měsíců. Výsledky výzkumu naznačují, že různé skupiny hrozeb spojené se Severní Koreou vytvářely podvodné profily LinkedIn. Tyto profily, navržené tak, aby napodobovaly náboráře i uchazeče o zaměstnání, mají za cíl usnadnit nezákonné činnosti a získat finanční podporu pro přísně sankcionovaný režim.
Sapphire Sleet, který je aktivní minimálně od roku 2020, sdílí spojení s dalšími hackerskými entitami, jako jsou APT38 a BlueNoroff. V listopadu 2023 výzkumníci odhalili, že skupina vytvořila platformy pro hodnocení dovedností napodobující infrastrukturu a využila tyto stránky k provádění své taktiky sociálního inženýrství.
Obsah
Klamná taktika používaná safírovým plískanicí
Během posledního roku skupina primárně používala strategii vydávání se za venture kapitalisty, předstírala zájem o podnikání cíle, aby uspořádala online schůzku. Když se cíle pokusí připojit ke schůzce, narazí na chybové zprávy, které jim říkají, aby kontaktovali administrátora schůzky nebo tým podpory s žádostí o pomoc.
Pokud oběť vyhoví, útočníci poskytnou soubor AppleScript (.scpt) nebo soubor Visual Basic Script (.vbs) přizpůsobený operačnímu systému oběti pod rouškou vyřešení problému. V zákulisí jsou tyto skripty navrženy tak, aby nasadily škodlivý software na zařízení macOS nebo Windows oběti a umožnily útočníkům získat přihlašovací údaje a získat přístup k kryptoměnovým peněženkám pro následnou krádež.
Vydávání se za legitimní entitu za účelem oklamání cílů
Sapphire Sleet bylo pozorováno, jak se na LinkedIn vydával za náboráře pro prominentní finanční instituce, jako je Goldman Sachs. Tato taktika zahrnuje kontaktování potenciálních cílů a pozvání k dokončení hodnocení dovedností hostované na webové stránce ovládané aktéry hrozby.
Obětem je poskytnut přihlašovací účet a heslo pro přístup na podvodnou stránku. Po přihlášení a stažení souborů souvisejících s údajným hodnocením neúmyslně nainstalují do svých zařízení malware, čímž útočníkům umožní neoprávněný přístup do jejich systémů.
Analytici kybernetické bezpečnosti navíc zdůraznili, že Severní Korea rozmístila tisíce IT pracovníků v zahraničí jako součást mnohostranné strategie. Tito pracovníci vytvářejí příjem pro režim prostřednictvím legitimního zaměstnávání, zneužívají svého přístupu ke krádeži duševního vlastnictví a zapojují se do krádeží dat za účelem získání výkupného.
Kvůli omezením v Severní Koreji, jako je nemožnost otevřít si bankovní účty nebo získat telefonní čísla, spoléhají tito IT pracovníci na zprostředkovatele, aby získali přístup k platformám, kde si mohou zajistit vzdálené úlohy. Tito facilitátoři pomáhají s úkoly, jako je vytváření účtů na nezávislých pracovních stránkách a nastavení falešných profilů a portfolií na platformách, jako je GitHub a LinkedIn, aby mohli komunikovat s náboráři a ucházet se o pracovní příležitosti.
Kyberzločinci využívají ve svých operacích technologie AI
V některých případech bylo zjištěno, že skupina využívá nástroje umělé inteligence (AI), jako je Faceswap, ke změně fotografií a dokumentů získaných od obětí. Tyto upravené obrázky, často umístěné v profesionálním prostředí, se pak používají v životopisech nebo profilech – někdy pod více identitami – předkládaných pro žádosti o zaměstnání.
Kromě manipulace s obrázky pro pracovní aplikace zkoumají severokorejští IT pracovníci také další technologie umělé inteligence, včetně softwaru pro změnu hlasu, aby zvýšili své klamavé úsilí.
Zdá se, že severokorejští IT pracovníci udržují dobře organizovaný systém pro sledování plateb, které dostávají. Odhaduje se, že jejich společné úsilí vygenerovalo příjmy nejméně 370 000 USD.
