Sapphire Sleet APT
Il gruppo di minacce affiliato alla Corea del Nord identificato come Sapphire Sleet avrebbe raccolto oltre 10 milioni di dollari in criptovaluta tramite schemi di ingegneria sociale condotti in un arco di tempo di sei mesi. I risultati della ricerca indicano che vari cluster di minacce collegati alla Corea del Nord hanno creato profili LinkedIn fraudolenti. Questi profili, progettati per imitare sia i reclutatori che i candidati, mirano a facilitare attività illecite e generare supporto finanziario per il regime pesantemente sanzionato.
Attivo almeno dal 2020, Sapphire Sleet condivide connessioni con altre entità di hacking, come APT38 e BlueNoroff. Nel novembre 2023, i ricercatori hanno scoperto che il gruppo aveva creato infrastrutture che imitavano piattaforme di valutazione delle competenze, sfruttando questi siti per eseguire le sue tattiche di ingegneria sociale.
Sommario
Tattiche ingannevoli impiegate da Sapphire Sleet
Nell'ultimo anno, il gruppo ha impiegato principalmente una strategia di impersonificazione di capitalisti di rischio, fingendo interesse per l'attività di un obiettivo per organizzare un incontro online. Quando gli obiettivi tentano di partecipare all'incontro, incontrano messaggi di errore che li istruiscono a contattare l'amministratore dell'incontro o il team di supporto per assistenza.
Se la vittima acconsente, gli aggressori forniscono un file AppleScript (.scpt) o un file Visual Basic Script (.vbs) su misura per il sistema operativo della vittima con il pretesto di risolvere il problema. Dietro le quinte, questi script sono progettati per distribuire software dannoso sul dispositivo macOS o Windows della vittima, consentendo agli aggressori di raccogliere credenziali e accedere ai wallet di criptovaluta per il successivo furto.
Impersonare un’entità legittima per ingannare i bersagli
È stato osservato che Sapphire Sleet impersonava i reclutatori di importanti istituzioni finanziarie, come Goldman Sachs, su LinkedIn. Questa tattica prevede di contattare potenziali obiettivi e invitarli a completare una valutazione delle competenze ospitata su un sito Web controllato dagli attori della minaccia.
Alle vittime viene fornito un account di accesso e una password per accedere al sito fraudolento. Dopo aver effettuato l'accesso e scaricato i file relativi alla presunta valutazione, installano inavvertitamente malware sui loro dispositivi, garantendo agli aggressori un accesso non autorizzato ai loro sistemi.
Inoltre, gli analisti della sicurezza informatica hanno evidenziato l'impiego di migliaia di lavoratori IT all'estero da parte della Corea del Nord come parte di una strategia multiforme. Questi lavoratori generano entrate per il regime tramite un impiego legittimo, sfruttano il loro accesso per rubare proprietà intellettuale e si dedicano al furto di dati per richieste di riscatto.
A causa delle restrizioni all'interno della Corea del Nord, come l'impossibilità di aprire conti bancari o ottenere numeri di telefono, questi operatori IT si affidano a intermediari per ottenere l'accesso a piattaforme in cui possono assicurarsi lavori da remoto. Questi facilitatori assistono in attività come la creazione di account su siti di lavoro freelance e la creazione di profili e portfolio falsi su piattaforme come GitHub e LinkedIn per interagire con i reclutatori e candidarsi per opportunità di lavoro.
I criminali informatici stanno adottando le tecnologie di intelligenza artificiale nelle loro operazioni
In alcuni casi, il gruppo è stato scoperto a sfruttare strumenti di intelligenza artificiale (IA), come Faceswap, per alterare foto e documenti ottenuti dalle vittime. Queste immagini modificate, spesso inserite in contesti professionali, vengono poi utilizzate su curriculum o profili, a volte sotto identità multiple, inviati per le domande di lavoro.
Oltre alla manipolazione delle immagini per le domande di lavoro, gli informatici nordcoreani stanno anche esplorando altre tecnologie di intelligenza artificiale, tra cui software per modificare la voce, per potenziare i loro sforzi ingannevoli.
I lavoratori IT nordcoreani sembrano mantenere un sistema ben organizzato per tracciare i pagamenti che ricevono. Si stima che i loro sforzi combinati abbiano generato almeno $ 370.000 di entrate.
