Sapphire Sleet APT
Η συνδεδεμένη με τη Βόρεια Κορέα ομάδα απειλών που προσδιορίζεται ως Sapphire Sleet φέρεται να έχει συγκεντρώσει πάνω από 10 εκατομμύρια δολάρια σε κρυπτονομίσματα μέσω προγραμμάτων κοινωνικής μηχανικής που πραγματοποιήθηκαν σε χρονικό διάστημα έξι μηνών. Τα ευρήματα της έρευνας δείχνουν ότι διάφορα συμπλέγματα απειλών που συνδέονται με τη Βόρεια Κορέα έχουν δημιουργήσει δόλια προφίλ στο LinkedIn. Αυτά τα προφίλ, που έχουν σχεδιαστεί για να μιμούνται τόσο τους προσλαμβάνοντες όσο και τα άτομα που αναζητούν εργασία, στοχεύουν στη διευκόλυνση των παράνομων δραστηριοτήτων και στη δημιουργία οικονομικής στήριξης για το καθεστώς που έχει επιβληθεί αυστηρές κυρώσεις.
Ενεργό τουλάχιστον από το 2020, το Sapphire Sleet μοιράζεται συνδέσεις με άλλες οντότητες hacking, όπως το APT38 και το BlueNoroff. Τον Νοέμβριο του 2023, οι ερευνητές αποκάλυψαν ότι η ομάδα είχε δημιουργήσει πλατφόρμες αξιολόγησης δεξιοτήτων μιμούμενη υποδομή, αξιοποιώντας αυτούς τους ιστότοπους για να εκτελέσει τις τακτικές κοινωνικής μηχανικής της.
Πίνακας περιεχομένων
Παραπλανητικές τακτικές που χρησιμοποιούνται από το Sapphire Sleet
Κατά τη διάρκεια του περασμένου έτους, ο όμιλος χρησιμοποίησε κατά κύριο λόγο μια στρατηγική πλαστοπροσωπίας κεφαλαίων επιχειρηματικού κινδύνου, προσποιούμενος ότι ενδιαφέρεται για την επιχείρηση ενός στόχου για να κανονίσει μια διαδικτυακή συνάντηση. Όταν οι στόχοι επιχειρούν να συμμετάσχουν στη σύσκεψη, αντιμετωπίζουν μηνύματα σφάλματος που τους καθοδηγούν να επικοινωνήσουν με τον διαχειριστή της σύσκεψης ή την ομάδα υποστήριξης για βοήθεια.
Εάν το θύμα συμμορφωθεί, οι εισβολείς παρέχουν ένα αρχείο AppleScript (.scpt) ή ένα αρχείο Visual Basic Script (.vbs) προσαρμοσμένο στο λειτουργικό σύστημα του θύματος με το πρόσχημα της επίλυσης του προβλήματος. Στα παρασκήνια, αυτά τα σενάρια έχουν σχεδιαστεί για να αναπτύσσουν κακόβουλο λογισμικό στη συσκευή macOS ή Windows του θύματος, επιτρέποντας στους εισβολείς να συλλέγουν διαπιστευτήρια και να έχουν πρόσβαση σε πορτοφόλια κρυπτονομισμάτων για επακόλουθη κλοπή.
Μίμηση νόμιμης οντότητας για εξαπάτηση στόχων
Το Sapphire Sleet έχει παρατηρηθεί να υποδύεται τους υπευθύνους προσλήψεων για εξέχοντα χρηματοπιστωτικά ιδρύματα, όπως η Goldman Sachs, στο LinkedIn. Αυτή η τακτική περιλαμβάνει την επαφή με πιθανούς στόχους και την πρόσκλησή τους να ολοκληρώσουν μια αξιολόγηση δεξιοτήτων που φιλοξενείται σε έναν ιστότοπο που ελέγχεται από τους παράγοντες της απειλής.
Στα θύματα παρέχεται λογαριασμός σύνδεσης και κωδικός πρόσβασης για να αποκτήσουν πρόσβαση στον δόλιο ιστότοπο. Κατά τη σύνδεση και τη λήψη αρχείων που σχετίζονται με την υποτιθέμενη αξιολόγηση, εγκαθιστούν κατά λάθος κακόβουλο λογισμικό στις συσκευές τους, παρέχοντας στους εισβολείς μη εξουσιοδοτημένη πρόσβαση στα συστήματά τους.
Επιπλέον, αναλυτές κυβερνοασφάλειας έχουν επισημάνει την ανάπτυξη χιλιάδων εργαζομένων στον τομέα της πληροφορικής στο εξωτερικό από τη Βόρεια Κορέα ως μέρος μιας πολύπλευρης στρατηγικής. Αυτοί οι εργαζόμενοι παράγουν έσοδα για το καθεστώς μέσω της νόμιμης απασχόλησης, εκμεταλλεύονται την πρόσβασή τους για να κλέψουν πνευματική ιδιοκτησία και εμπλέκονται σε κλοπή δεδομένων για αιτήματα λύτρων.
Λόγω περιορισμών στη Βόρεια Κορέα, όπως η αδυναμία ανοίγματος τραπεζικών λογαριασμών ή απόκτησης αριθμών τηλεφώνου, αυτοί οι λειτουργοί πληροφορικής βασίζονται σε μεσάζοντες για να αποκτήσουν πρόσβαση σε πλατφόρμες όπου μπορούν να εξασφαλίσουν απομακρυσμένες θέσεις εργασίας. Αυτοί οι διαμεσολαβητές βοηθούν σε εργασίες όπως η δημιουργία λογαριασμών σε ιστότοπους εργασίας ανεξάρτητων επαγγελματιών και η δημιουργία πλαστών προφίλ και χαρτοφυλακίων σε πλατφόρμες όπως το GitHub και το LinkedIn για αλληλεπίδραση με υπεύθυνους προσλήψεων και υποβολή αιτήσεων για ευκαιρίες απασχόλησης.
Οι κυβερνοεγκληματίες υιοθετούν τεχνολογίες AI στις δραστηριότητές τους
Σε ορισμένες περιπτώσεις, βρέθηκε ότι η ομάδα χρησιμοποιεί εργαλεία τεχνητής νοημοσύνης (AI), όπως το Faceswap, για να τροποποιήσει φωτογραφίες και έγγραφα που λαμβάνονται από τα θύματα. Αυτές οι τροποποιημένες εικόνες, που συχνά τοποθετούνται σε επαγγελματικές ρυθμίσεις, χρησιμοποιούνται στη συνέχεια σε βιογραφικά ή προφίλ—μερικές φορές με πολλαπλές ταυτότητες—που υποβάλλονται για αιτήσεις εργασίας.
Πέρα από τη χειραγώγηση εικόνας για εφαρμογές εργασίας, οι εργαζόμενοι στον τομέα της πληροφορικής της Βόρειας Κορέας εξερευνούν επίσης άλλες τεχνολογίες τεχνητής νοημοσύνης, συμπεριλαμβανομένου του λογισμικού αλλαγής φωνής, για να ενισχύσουν τις παραπλανητικές προσπάθειές τους.
Οι βορειοκορεάτες εργαζόμενοι στον τομέα της πληροφορικής φαίνεται να διατηρούν ένα καλά οργανωμένο σύστημα παρακολούθησης των πληρωμών που λαμβάνουν. Οι συνδυασμένες προσπάθειές τους εκτιμάται ότι απέφεραν έσοδα τουλάχιστον 370.000 $.
