Sapphire Sleet APT
קבוצת האיומים המזוהה עם צפון קוריאה שזוהתה כ-Sapphire Sleet, על פי הדיווחים, קצרה למעלה מ-10 מיליון דולר במטבעות קריפטוגרפיים באמצעות תוכניות הנדסה חברתית שבוצעו על פני פרק זמן של שישה חודשים. ממצאי מחקר מצביעים על כך שצבירי איומים שונים הקשורים לצפון קוריאה יצרו פרופילי LinkedIn מזויפים. פרופילים אלה, שנועדו לחקות מגייסים ומחפשי עבודה כאחד, מטרתם להקל על פעילויות בלתי חוקיות וליצור תמיכה כספית למשטר הנחרץ סנקציות כבדות.
פעיל מאז 2020 לפחות, Sapphire Sleet חולק קשרים עם גופי פריצה אחרים, כמו APT38 ו-BlueNoroff. בנובמבר 2023, חוקרים חשפו שהקבוצה הקימה פלטפורמות להערכת מיומנויות מחקות תשתית, תוך מינוף אתרים אלה לביצוע טקטיקות ההנדסה החברתית שלה.
תוכן העניינים
טקטיקות מטעה שהופעלו על ידי Sapphire Slet
במהלך השנה האחרונה, הקבוצה השתמשה בעיקר באסטרטגיה של התחזות למשקיעי הון סיכון, תוך שהיא מעמידה פנים שהתעניינות בעסק של יעד כדי לארגן פגישה מקוונת. כאשר יעדים מנסים להצטרף לפגישה, הם נתקלים בהודעות שגיאה המורות להם לפנות למנהל הפגישה או לצוות התמיכה לקבלת סיוע.
אם הקורבן מציית, התוקפים מספקים קובץ AppleScript (.scpt) או קובץ Visual Basic Script (.vbs) המותאם למערכת ההפעלה של הקורבן במסווה של פתרון הבעיה. מאחורי הקלעים, סקריפטים אלה נועדו לפרוס תוכנה זדונית במכשיר ה-macOS או ה-Windows של הקורבן, מה שמאפשר לתוקפים לאסוף אישורים ולגשת לארנקים של מטבעות קריפטוגרפיים לצורך גניבה לאחר מכן.
התחזות לישות לגיטימית כדי לשטות במטרות
Sapphire Slet נצפה מתחזה למגייסים למוסדות פיננסיים בולטים, כמו גולדמן זאקס, בלינקדאין. טקטיקה זו כוללת יצירת קשר עם יעדים פוטנציאליים והזמנתם להשלים הערכת מיומנויות המתארחת באתר האינטרנט הנשלט על ידי גורמי האיום.
לקורבנות מסופקים חשבון כניסה וסיסמה כדי לגשת לאתר הונאה. עם הכניסה והורדת קבצים הקשורים להערכה כביכול, הם מתקינים בשוגג תוכנה זדונית במכשירים שלהם, ומעניקים לתוקפים גישה בלתי מורשית למערכות שלהם.
בנוסף, אנליסטים של אבטחת סייבר הדגישו את הפריסה של צפון קוריאה של אלפי עובדי IT בחו"ל כחלק מאסטרטגיה רבת פנים. עובדים אלה מייצרים הכנסה למשטר באמצעות העסקה לגיטימית, מנצלים את הגישה שלהם לגניבת קניין רוחני ועוסקים בגניבת מידע לצורך דרישות כופר.
בשל הגבלות בתוך צפון קוריאה, כגון חוסר היכולת לפתוח חשבונות בנק או להשיג מספרי טלפון, פעילי IT אלה מסתמכים על מתווכים כדי לקבל גישה לפלטפורמות שבהן הם יכולים להבטיח משרות מרוחקות. מנחים אלו מסייעים במשימות כמו יצירת חשבונות באתרי עבודה עצמאיים והקמת פרופילים ופורטפוליו מזויפים בפלטפורמות כגון GitHub ו-LinkedIn כדי ליצור אינטראקציה עם מגייסים ולהגיש בקשה להזדמנויות תעסוקה.
פושעי סייבר מאמצים טכנולוגיות AI בפעילותם
בחלק מהמקרים נמצא שהקבוצה ממנפת כלים של בינה מלאכותית (AI), כמו Faceswap, כדי לשנות תמונות ומסמכים שהתקבלו מקורבנות. תמונות ששונו אלה, המוצבות לעתים קרובות במסגרות מקצועיות, משמשות לאחר מכן בקורות חיים או בפרופילים - לפעמים תחת מספר זהויות - הנשלחות להגשת מועמדות לעבודה.
מעבר למניפולציה של תמונות עבור יישומי עבודה, עובדי IT צפון קוריאנים בוחנים גם טכנולוגיות בינה מלאכותית אחרות, כולל תוכנות לשינוי קול, כדי לשפר את מאמציהם המטעים.
נראה שעובדי ה-IT הצפון קוריאנים מקיימים מערכת מאורגנת היטב למעקב אחר התשלומים שהם מקבלים. המאמצים המשולבים שלהם הניבו לפחות 370,000 דולר בהכנסות.
