Sapphire Sleet APT
Az észak-koreai kötődésű, Zafír ónként azonosított fenyegetőcsoport a jelentések szerint több mint 10 millió dollárnyi kriptovalutát gyűjtött be hat hónapos időkereten keresztül végrehajtott szociális manipulációs programok révén. A kutatási eredmények azt mutatják, hogy az Észak-Koreához kapcsolódó fenyegetéscsoportok csalárd LinkedIn-profilokat hoztak létre. Ezek a profilok, amelyek mind a toborzókat, mind az álláskeresőket utánozzák, célja a tiltott tevékenységek elősegítése és pénzügyi támogatás létrehozása a szigorúan szankcionált rezsim számára.
A legalább 2020 óta működő Sapphire Sleet megosztja a kapcsolatot más hacker entitásokkal, mint például az APT38 és a BlueNoroff. 2023 novemberében a kutatók felfedték, hogy a csoport infrastruktúra-utánzó készségfelmérő platformokat hozott létre, és ezeket az oldalakat felhasználva alkalmazza szociális tervezési taktikáját.
Tartalomjegyzék
A zafír ónos megtévesztő taktikája
Az elmúlt év során a csoport elsősorban kockázati tőkésítési stratégiát alkalmazott, egy célpont vállalkozása iránti érdeklődést színlelve, hogy online találkozót szervezzen. Amikor a célpontok megpróbálnak csatlakozni az értekezlethez, hibaüzeneteket kapnak, amelyek arra utasítják őket, hogy forduljanak segítségért az értekezlet adminisztrátorához vagy a támogatási csapathoz.
Ha az áldozat eleget tesz, a támadók AppleScript (.scpt) vagy Visual Basic Script (.vbs) fájlt bocsátanak rendelkezésre az áldozat operációs rendszerére szabottan a probléma megoldásának leple alatt. A színfalak mögött ezeket a szkripteket úgy tervezték, hogy rosszindulatú szoftvereket telepítsenek az áldozat macOS vagy Windows eszközére, lehetővé téve a támadók számára, hogy hitelesítő adatokat gyűjtsenek be, és hozzáférjenek a kriptovaluta pénztárcákhoz a későbbi lopásokhoz.
Törvényes entitás megszemélyesítése célpontok megtévesztésére
Megfigyelték, hogy a Sapphire Sleet prominens pénzügyi intézmények, például a Goldman Sachs toborzóinak adja ki magát a LinkedInen. Ez a taktika magában foglalja a potenciális célpontokkal való kapcsolatfelvételt, és felkérik őket, hogy fejezzék be a készségfelmérésüket, amelyet a fenyegetés szereplői által felügyelt webhelyen tárolnak.
Az áldozatok bejelentkezési fiókot és jelszót kapnak a csaló oldal eléréséhez. A bejelentkezéskor és a feltételezett értékeléshez kapcsolódó fájlok letöltésekor véletlenül rosszindulatú programokat telepítenek eszközeikre, így a támadók jogosulatlan hozzáférést biztosítanak rendszereikhez.
Ezenkívül a kiberbiztonsági elemzők kiemelték, hogy Észak-Korea több ezer IT-alkalmazottat telepít külföldre egy sokrétű stratégia részeként. Ezek a munkások törvényes foglalkoztatás révén bevételt termelnek a rezsim számára, kihasználják hozzáférésüket a szellemi tulajdon eltulajdonítására, és váltságdíjak követeléséért adatlopásokban vesznek részt.
Az Észak-Koreán belüli korlátozások – például a bankszámlák nyitásának vagy a telefonszámok megszerzésének képtelensége – miatt ezek az IT-alkalmazottak közvetítőkre támaszkodnak, hogy hozzáférjenek olyan platformokhoz, ahol távoli állásokat biztosíthatnak. Ezek a segítők olyan feladatokban segítenek, mint fiókok létrehozása a szabadúszó álláshelyeken, és hamis profilok és portfóliók létrehozása olyan platformokon, mint a GitHub és a LinkedIn, hogy kapcsolatba lépjenek a toborzókkal és jelentkezzenek álláslehetőségekre.
A kiberbűnözők AI-technológiákat alkalmaznak működésük során
Egyes esetekben a csoport mesterséges intelligencia (AI) eszközöket, például a Faceswapot használ fel az áldozatoktól szerzett fényképek és dokumentumok megváltoztatására. Ezeket a módosított képeket, amelyeket gyakran professzionális beállításokba helyeznek el, azután felhasználják az álláspályázatokhoz benyújtott önéletrajzokban vagy profilokban – esetenként több identitás alatt.
Az álláspályázatokhoz való képmanipuláción túl az észak-koreai IT-munkások más mesterséges intelligencia-technológiákat is vizsgálnak, beleértve a hangváltó szoftvereket, hogy fokozzák megtévesztő erőfeszítéseiket.
Úgy tűnik, hogy az észak-koreai IT-munkások jól szervezett rendszert tartanak fenn a kapott kifizetések nyomon követésére. Együttes erőfeszítéseik a becslések szerint legalább 370 000 dollár bevételt generáltak.
