Sapphire Sleet APT
Pohjois-Koreaan kuuluva uhkaryhmä, joka tunnetaan nimellä Sapphire Sleet, on tiettävästi kerännyt yli 10 miljoonaa dollaria kryptovaluuttoja sosiaalisen manipuloinnin avulla kuuden kuukauden aikana. Tutkimustulokset osoittavat, että useat Pohjois-Koreaan liittyvät uhkaklusterit ovat luoneet vilpillisiä LinkedIn-profiileja. Nämä profiilit, jotka on suunniteltu jäljittelemään sekä rekrytoijia että työnhakijoita, pyrkivät helpottamaan laitonta toimintaa ja luomaan taloudellista tukea ankarasti sanktioitua hallintoa varten.
Ainakin vuodesta 2020 lähtien toiminut Sapphire Sleet jakaa yhteyksiä muihin hakkerointiyksiköihin, kuten APT38:aan ja BlueNoroffiin. Marraskuussa 2023 tutkijat paljastivat, että ryhmä oli perustanut infrastruktuuria matkivia taitojen arviointialustoja hyödyntäen näitä sivustoja toteuttaakseen sosiaalisen suunnittelun taktiikkaansa.
Sisällysluettelo
Sapphire Sleetin käyttämät petolliset taktiikat
Viimeisen vuoden aikana ryhmä on käyttänyt ensisijaisesti strategiaa, jossa esiintyy pääomasijoittajia, teeskennellen kiinnostusta kohteen liiketoimintaa kohtaan online-kokouksen järjestämiseksi. Kun kohteet yrittävät liittyä kokoukseen, he näkevät virheilmoituksia, joissa heitä kehotetaan ottamaan yhteyttä kokouksen järjestelmänvalvojaan tai tukitiimiin saadakseen apua.
Jos uhri noudattaa vaatimuksia, hyökkääjät toimittavat AppleScript-tiedoston (.scpt) tai Visual Basic Script (.vbs) -tiedoston, joka on räätälöity uhrin käyttöjärjestelmään ongelman ratkaisemisen varjolla. Kulissien takana nämä skriptit on suunniteltu asentamaan haittaohjelmia uhrin macOS- tai Windows-laitteeseen, jolloin hyökkääjät voivat kerätä tunnistetietoja ja päästä käsiksi kryptovaluuttalompakoihin myöhempää varkautta varten.
Laillisen entiteetin esiintyminen kohteiden huijaamiseksi
Sapphire Sleetin on havaittu esiintyvän LinkedInissä tunnettujen rahoituslaitosten, kuten Goldman Sachsin, rekrytoijina. Tämä taktiikka sisältää yhteydenottamisen mahdollisiin kohteisiin ja kutsumisen suorittamaan taitojen arviointia uhkatekijöiden hallitsemalla verkkosivustolla.
Uhreille annetaan kirjautumistili ja salasana, joilla he pääsevät petolliseen sivustoon. Kirjautuessaan sisään ja lataaessaan oletettuun arviointiin liittyviä tiedostoja he asentavat vahingossa haittaohjelmia laitteilleen, mikä antaa hyökkääjille luvattoman pääsyn järjestelmiinsä.
Lisäksi kyberturvallisuusanalyytikot ovat korostaneet Pohjois-Korean tuhansien IT-työntekijöiden lähettämistä ulkomaille osana monitahoista strategiaa. Nämä työntekijät tuottavat tuloja hallitukselle laillisen työn kautta, käyttävät hyväkseen pääsyään henkisen omaisuuden varastamiseen ja osallistuvat tietovarkauksiin lunnaita vastaan.
Pohjois-Korean sisäisten rajoitusten vuoksi, kuten kyvyttömyys avata pankkitilejä tai saada puhelinnumeroita, nämä IT-työntekijät luottavat välittäjiin päästäkseen alustoihin, joilla he voivat turvata etätyöpaikkoja. Nämä ohjaajat auttavat esimerkiksi tilien luomisessa freelance-työsivustoille ja väärennettyjä profiileja ja portfolioita luomaan GitHubin ja LinkedInin kaltaisille alustoille, jotta he voivat olla vuorovaikutuksessa rekrytoijien kanssa ja hakea työpaikkoja.
Kyberrikolliset ottavat käyttöön tekoälyteknologioita toiminnassaan
Joissakin tapauksissa ryhmän on havaittu hyödyntävän tekoälyn (AI) työkaluja, kuten Faceswapia, muuttaakseen uhreilta saatuja valokuvia ja asiakirjoja. Näitä muokattuja kuvia, jotka sijoitetaan usein ammattikäyttöön, käytetään sitten työhakemuksiin lähetetyissä ansioluetteloissa tai profiileissa – joskus useilla henkilöllisyyksillä.
Työhakemusten kuvankäsittelyn lisäksi pohjoiskorealaiset IT-työntekijät tutkivat myös muita tekoälyteknologioita, mukaan lukien äänenvaihtoohjelmistoja, parantaakseen petollisia toimiaan.
Pohjoiskorealaiset IT-työntekijät näyttävät ylläpitävän hyvin organisoitua järjestelmää vastaanottamiensa maksujen seurantaan. Heidän yhteisten ponnistelujensa arvioidaan tuottaneen vähintään 370 000 dollaria tuloja.
