Sapphire Sleet APT
Põhja-Koreaga seotud ohurühmitus, mida nimetatakse Sapphire Sleetiks, on väidetavalt kogunud kuus kuud kestnud sotsiaalse manipuleerimise skeemide kaudu krüptovaluutat üle 10 miljoni dollari. Uuringutulemused näitavad, et mitmed Põhja-Koreaga seotud ohuklastrid on loonud LinkedIni profiile. Need profiilid, mille eesmärk on jäljendada nii värbajaid kui ka tööotsijaid, on mõeldud ebaseadusliku tegevuse hõlbustamiseks ja rahalise toetuse loomiseks rangelt sanktsioneeritud režiimile.
Vähemalt 2020. aastast aktiivne Sapphire Sleet jagab ühendusi teiste häkkimisüksustega, nagu APT38 ja BlueNoroff. 2023. aasta novembris avastasid teadlased, et rühm oli loonud infrastruktuuri matkivad oskuste hindamise platvormid, kasutades neid saite oma sotsiaalse inseneri taktika rakendamiseks.
Sisukord
Sapphire Sleet'i võltsitud taktikad
Viimase aasta jooksul on grupp kasutanud peamiselt riskikapitalistide kehastamist, teeskledes huvi sihtmärgi ettevõtte vastu, et korraldada veebikohtumine. Kui sihtmärgid proovivad koosolekuga liituda, kuvatakse neile veateated, mis juhendavad neil abi saamiseks ühendust võtma koosoleku administraatori või tugimeeskonnaga.
Kui ohver järgib seda, esitavad ründajad probleemi lahendamise varjus ohvri operatsioonisüsteemile kohandatud AppleScripti (.scpt) faili või Visual Basic Scripti (.vbs) faili. Kulisside taga on need skriptid loodud ründetarkvara juurutamiseks ohvri macOS-i või Windowsi seadmesse, võimaldades ründajatel koguda mandaate ja pääseda juurde krüptovaluuta rahakottidesse hilisemaks varguseks.
Seadusliku üksuse esinemine sihtmärkide petmiseks
On täheldatud, et Sapphire Sleet kehastab LinkedInis silmapaistvate finantsasutuste (nt Goldman Sachsi) värbajaid. See taktika hõlmab potentsiaalsete sihtmärkidega ühenduse võtmist ja nende kutsumist läbima oskuste hindamist, mis asub ohus osalejate kontrolli all oleval veebisaidil.
Ohvritele antakse petturlikule saidile juurdepääsuks sisselogimiskonto ja parool. Sisselogimisel ja oletatava hinnanguga seotud failide allalaadimisel installivad nad tahtmatult oma seadmetesse pahavara, võimaldades ründajatele volitamata juurdepääsu oma süsteemidele.
Lisaks on küberjulgeoleku analüütikud rõhutanud tuhandete IT-töötajate lähetamist välismaale Põhja-Korea poolt mitmetahulise strateegia osana. Need töötajad teenivad režiimile tulu seadusliku töötamise kaudu, kasutavad ära oma juurdepääsu intellektuaalomandi varastamiseks ja tegelevad lunaraha nõudmise nimel andmete vargustega.
Põhja-Koreas kehtivate piirangute tõttu, nagu suutmatus avada pangakontosid või hankida telefoninumbreid, toetuvad need IT-töötajad vahendajatele, et saada juurdepääs platvormidele, kus nad saavad kaugtöökohti tagada. Need abistajad aitavad täita selliseid ülesandeid nagu kontode loomine vabakutselistel töökohtadel ning võltsprofiilide ja -portfellide seadistamine platvormidel, nagu GitHub ja LinkedIn, et suhelda värbajatega ja taotleda töövõimalusi.
Küberkurjategijad võtavad oma tegevuses kasutusele AI-tehnoloogiad
Mõnel juhul on leitud, et rühmitus kasutab ohvritelt saadud fotode ja dokumentide muutmiseks tehisintellekti (AI) tööriistu, nagu Faceswap. Neid muudetud pilte, mis paigutatakse sageli professionaalsetesse seadetesse, kasutatakse seejärel töötaotlustele esitatavatel CV-del või profiilidel (mõnikord mitme identiteedi all).
Lisaks töötaotluste pilditöötlusele uurivad Põhja-Korea IT-töötajad ka teisi tehisintellekti tehnoloogiaid, sealhulgas häält muutvat tarkvara, et tõhustada oma pettusi.
Näib, et Põhja-Korea IT-töötajatel on neile laekuvate maksete jälgimiseks hästi organiseeritud süsteem. Nende ühised jõupingutused on andnud hinnanguliselt vähemalt 370 000 dollarit tulu.
