Sapphire Sleet APT
Den Nordkorea-tilknyttede trusselgruppe identificeret som Sapphire Sleet har angiveligt høstet over 10 millioner dollars i kryptovaluta gennem social engineering-ordninger udført over en seks-måneders tidsramme. Forskningsresultater viser, at forskellige trusselklynger forbundet med Nordkorea har oprettet svigagtige LinkedIn-profiler. Disse profiler, der er designet til at efterligne både rekrutterere og jobsøgende, har til formål at lette ulovlige aktiviteter og generere økonomisk støtte til det stærkt sanktionerede regime.
Aktiv siden mindst 2020, Sapphire Sleet deler forbindelser med andre hacking-enheder, såsom APT38 og BlueNoroff. I november 2023 afslørede forskere, at gruppen havde oprettet infrastruktur, der efterligner færdighedsvurderingsplatforme, og udnyttede disse websteder til at udføre deres social engineering taktik.
Indholdsfortegnelse
Vildledende taktik anvendt af Sapphire Sleet
I løbet af det seneste år har koncernen primært brugt en strategi med at efterligne venturekapitalister og foregivet interesse for et måls forretning for at arrangere et onlinemøde. Når mål forsøger at deltage i mødet, støder de på fejlmeddelelser, der instruerer dem om at kontakte mødeadministratoren eller supportteamet for at få hjælp.
Hvis offeret overholder det, leverer angriberne en AppleScript-fil (.scpt) eller en Visual Basic Script-fil (.vbs), der er skræddersyet til ofrets operativsystem under dække af at løse problemet. Bag kulisserne er disse scripts designet til at implementere ondsindet software på ofrets macOS- eller Windows-enhed, hvilket gør det muligt for angriberne at høste legitimationsoplysninger og få adgang til cryptocurrency-punge til efterfølgende tyveri.
Efterligning af legitim enhed for at narre mål
The Sapphire Sleet er blevet observeret efterligne rekrutterere for fremtrædende finansielle institutioner, såsom Goldman Sachs, på LinkedIn. Denne taktik involverer at kontakte potentielle mål og invitere dem til at gennemføre en færdighedsvurdering, der er hostet på et websted, der kontrolleres af trusselsaktørerne.
Ofre får en login-konto og adgangskode for at få adgang til det bedrageriske websted. Ved at logge ind og downloade filer relateret til den formodede vurdering, installerer de utilsigtet malware på deres enheder, hvilket giver angribere uautoriseret adgang til deres systemer.
Derudover har cybersikkerhedsanalytikere fremhævet Nordkoreas udstationering af tusindvis af it-medarbejdere i udlandet som en del af en mangefacetteret strategi. Disse arbejdere genererer indtægter til regimet gennem lovlig beskæftigelse, udnytter deres adgang til at stjæle intellektuel ejendom og engagerer sig i datatyveri for krav om løsepenge.
På grund af restriktioner i Nordkorea, såsom manglende evne til at åbne bankkonti eller få telefonnumre, er disse it-operatører afhængige af mellemmænd for at få adgang til platforme, hvor de kan sikre fjernjobs. Disse facilitatorer hjælper med opgaver som at oprette konti på freelance-jobsider og oprette falske profiler og porteføljer på platforme som GitHub og LinkedIn for at interagere med rekrutterere og ansøge om beskæftigelsesmuligheder.
Cyberkriminelle tager i brug AI-teknologier i deres operationer
I nogle tilfælde er gruppen blevet fundet ved at udnytte kunstig intelligens (AI) værktøjer, såsom Faceswap, til at ændre fotos og dokumenter opnået fra ofre. Disse ændrede billeder, ofte placeret i professionelle omgivelser, bruges derefter på CV'er eller profiler - nogle gange under flere identiteter - indsendt til jobansøgninger.
Ud over billedmanipulation til jobansøgninger udforsker nordkoreanske it-medarbejdere også andre kunstig intelligens-teknologier, herunder stemmeskiftende software, for at forbedre deres vildledende indsats.
De nordkoreanske it-medarbejdere ser ud til at have et velorganiseret system til at spore de betalinger, de modtager. Deres samlede indsats anslås at have genereret mindst $370.000 i omsætning.
