Sapphire Sleet APT
Prijetnja skupina povezana sa Sjevernom Korejom identificirana kao Sapphire Sleet navodno je prikupila više od 10 milijuna dolara u kriptovaluti kroz sheme društvenog inženjeringa koje su se provodile tijekom šest mjeseci. Nalazi istraživanja pokazuju da su različiti klasteri prijetnji povezani sa Sjevernom Korejom stvarali lažne LinkedIn profile. Ovi profili, osmišljeni tako da oponašaju regrute i tražitelje posla, imaju za cilj olakšati nezakonite aktivnosti i stvoriti financijsku potporu strogo sankcioniranom režimu.
Aktivan najmanje od 2020., Sapphire Sleet dijeli veze s drugim hakerskim entitetima, kao što su APT38 i BlueNoroff. U studenom 2023. istraživači su otkrili da je grupa postavila infrastrukturu koja oponaša platforme za procjenu vještina, koristeći ta mjesta za izvođenje svojih taktika društvenog inženjeringa.
Sadržaj
Varljive taktike koje koristi Sapphire Sleet
Tijekom prošle godine grupa je primarno koristila strategiju lažnog predstavljanja rizičnih kapitalista, pretvarajući se da su zainteresirani za ciljno poslovanje kako bi dogovorili sastanak na mreži. Kada se ciljane osobe pokušaju pridružiti sastanku, nailaze na poruke o pogrešci koje ih upućuju da kontaktiraju administratora sastanka ili tim za podršku za pomoć.
Ako se žrtva pridržava, napadači daju AppleScript (.scpt) datoteku ili Visual Basic Script (.vbs) datoteku prilagođenu žrtvinom operativnom sustavu pod krinkom rješavanja problema. Iza kulisa, te su skripte dizajnirane za implementaciju zlonamjernog softvera na žrtvin macOS ili Windows uređaj, omogućujući napadačima prikupljanje vjerodajnica i pristup novčanicima kriptovaluta za kasniju krađu.
Oponašanje legitimnog entiteta da bi se prevarile mete
Sapphire Sleet je primijećena kako na LinkedInu glumi regrute za istaknute financijske institucije, kao što je Goldman Sachs. Ova taktika uključuje kontaktiranje potencijalnih meta i pozivanje da dovrše procjenu vještina koja se nalazi na web stranici koju kontroliraju prijetnje.
Žrtvama se daje račun za prijavu i lozinka za pristup lažnoj stranici. Nakon prijave i preuzimanja datoteka povezanih s navodnom procjenom, oni nenamjerno instaliraju zlonamjerni softver na svoje uređaje, dopuštajući napadačima neovlašteni pristup njihovim sustavima.
Osim toga, analitičari kibernetičke sigurnosti istaknuli su da je Sjeverna Koreja poslala tisuće IT radnika u inozemstvo kao dio višestruke strategije. Ti radnici ostvaruju prihode za režim putem legitimnog zapošljavanja, iskorištavaju svoj pristup za krađu intelektualnog vlasništva i sudjeluju u krađi podataka za traženje otkupnine.
Zbog ograničenja unutar Sjeverne Koreje, kao što je nemogućnost otvaranja bankovnih računa ili dobivanja telefonskih brojeva, ovi IT operativci oslanjaju se na posrednike kako bi dobili pristup platformama na kojima mogu osigurati poslove na daljinu. Ovi voditelji pomažu u zadacima poput stvaranja računa na stranicama za zapošljavanje slobodnih profesija i postavljanja lažnih profila i portfelja na platformama kao što su GitHub i LinkedIn za interakciju s regrutima i prijavu za prilike za zapošljavanje.
Kibernetički kriminalci usvajaju AI-tehnologije u svojim operacijama
U nekim je slučajevima otkriveno da skupina koristi alate umjetne inteligencije (AI), kao što je Faceswap, za promjenu fotografija i dokumenata dobivenih od žrtava. Ove modificirane slike, često postavljene u profesionalnim okruženjima, zatim se koriste u životopisima ili profilima—ponekad pod višestrukim identitetima—koji se podnose za prijave za posao.
Osim manipulacije slikama za prijave za posao, sjevernokorejski IT radnici također istražuju druge tehnologije umjetne inteligencije, uključujući softver za promjenu glasa, kako bi poboljšali svoje lažne napore.
Čini se da sjevernokorejski IT radnici održavaju dobro organiziran sustav za praćenje uplata koje primaju. Procjenjuje se da su njihovi zajednički napori ostvarili prihod od najmanje 370.000 USD.
