Sapphire Sleet APT

طبق گزارش‌ها، گروه تهدید وابسته به کره شمالی که Sapphire Sleet نام دارد، بیش از 10 میلیون دلار ارز دیجیتال از طریق طرح‌های مهندسی اجتماعی که در یک بازه زمانی شش ماهه انجام شده است، به دست آورده است. یافته‌های تحقیقات نشان می‌دهد که گروه‌های تهدید مختلف مرتبط با کره شمالی در حال ایجاد پروفایل‌های جعلی لینکدین هستند. این پروفایل ها که برای تقلید از استخدام کنندگان و جویندگان کار طراحی شده اند، هدفشان تسهیل فعالیت های غیرقانونی و ایجاد حمایت مالی برای رژیم شدیداً تحریم شده است.

Sapphire Sleet که حداقل از سال 2020 فعال است، با سایر نهادهای هکر مانند APT38 و BlueNoroff به اشتراک می گذارد. در نوامبر 2023، محققان کشف کردند که این گروه پلتفرم‌های ارزیابی مهارت‌های تقلید زیرساختی را راه‌اندازی کرده و از این سایت‌ها برای اجرای تاکتیک‌های مهندسی اجتماعی خود استفاده کرده است.

تاکتیک های فریبنده به کار گرفته شده توسط Sapphire Sleet

در طول سال گذشته، این گروه عمدتاً از یک استراتژی جعل هویت سرمایه‌گذاران خطرپذیر استفاده کرده است، و وانمود می‌کند که به کسب‌وکار هدف علاقه دارد تا یک جلسه آنلاین ترتیب دهد. هنگامی که هدف‌ها تلاش می‌کنند به جلسه بپیوندند، با پیام‌های خطایی مواجه می‌شوند که به آنها دستور می‌دهد برای کمک با سرپرست جلسه یا تیم پشتیبانی تماس بگیرند.

اگر قربانی رعایت کند، مهاجمان یک فایل AppleScript (.scpt) یا یک فایل Visual Basic Script (.vbs) متناسب با سیستم عامل قربانی را به بهانه حل مشکل ارائه می کنند. در پشت صحنه، این اسکریپت‌ها برای استقرار نرم‌افزارهای مخرب بر روی macOS یا دستگاه ویندوزی قربانی طراحی شده‌اند که مهاجمان را قادر می‌سازد اعتبارنامه‌ها را جمع‌آوری کرده و برای سرقت بعدی به کیف پول‌های ارزهای دیجیتال دسترسی داشته باشند.

جعل هویت مشروع به اهداف احمقانه

Sapphire Sleet جعل هویت استخدام‌کنندگان موسسات مالی برجسته مانند Goldman Sachs در لینکدین مشاهده شده است. این تاکتیک شامل تماس با اهداف بالقوه و دعوت از آنها برای تکمیل یک ارزیابی مهارت است که در وب سایتی که توسط عوامل تهدید کنترل می شود میزبانی می شود.

به قربانیان یک حساب ورود به سیستم و رمز عبور برای دسترسی به سایت تقلبی ارائه می شود. به محض ورود به سیستم و دانلود فایل های مربوط به ارزیابی فرضی، آنها به طور ناخواسته بدافزار را روی دستگاه های خود نصب می کنند و به مهاجمان اجازه دسترسی غیرمجاز به سیستم های خود را می دهند.

علاوه بر این، تحلیلگران امنیت سایبری استقرار هزاران کارگر فناوری اطلاعات در خارج از کشور توسط کره شمالی را به عنوان بخشی از یک استراتژی چند وجهی برجسته کرده اند. این کارگران از طریق اشتغال مشروع برای رژیم درآمد ایجاد می کنند، از دسترسی خود برای سرقت مالکیت معنوی سوء استفاده می کنند و برای باج خواهی در سرقت اطلاعات شرکت می کنند.

با توجه به محدودیت‌های داخل کره شمالی، مانند ناتوانی در باز کردن حساب‌های بانکی یا دریافت شماره تلفن، این فعالان فناوری اطلاعات برای دسترسی به پلتفرم‌هایی که می‌توانند مشاغل راه دور را ایمن کنند، به واسطه‌ها متکی هستند. این تسهیل کننده ها در کارهایی مانند ایجاد حساب در سایت های شغلی آزاد و راه اندازی پروفایل ها و نمونه کارها جعلی در پلتفرم هایی مانند GitHub و LinkedIn برای تعامل با استخدام کنندگان و درخواست فرصت های شغلی کمک می کنند.

مجرمان سایبری در عملیات خود از فناوری های هوش مصنوعی استفاده می کنند

در برخی موارد، مشخص شده است که این گروه از ابزارهای هوش مصنوعی (AI) مانند Faceswap برای تغییر عکس ها و اسناد به دست آمده از قربانیان استفاده می کند. این تصاویر اصلاح‌شده، که اغلب در تنظیمات حرفه‌ای قرار می‌گیرند، سپس در رزومه‌ها یا نمایه‌ها (گاهی اوقات با هویت‌های متعدد) برای درخواست‌های شغلی ارسال می‌شوند.

فراتر از دستکاری تصویر برای برنامه های شغلی، کارکنان فناوری اطلاعات کره شمالی همچنین در حال بررسی سایر فناوری های هوش مصنوعی از جمله نرم افزارهای تغییر صدا هستند تا تلاش های فریبنده خود را افزایش دهند.

به نظر می رسد کارکنان فناوری اطلاعات کره شمالی یک سیستم سازماندهی شده برای ردیابی پرداخت های دریافتی خود دارند. تخمین زده می شود که مجموع تلاش های آنها حداقل 370000 دلار درآمد داشته باشد.