Sapphire Sleet APT

북한과 관련된 위협 그룹인 Sapphire Sleet은 6개월 동안 수행된 사회 공학 계획을 통해 1,000만 달러 이상의 암호화폐를 수확한 것으로 알려졌습니다. 연구 결과에 따르면 북한과 연결된 다양한 위협 클러스터가 사기성 LinkedIn 프로필을 만들고 있습니다. 채용 담당자와 구직자를 모두 모방하도록 설계된 이러한 프로필은 불법 활동을 용이하게 하고 엄격하게 제재를 받는 정권에 대한 재정적 지원을 창출하는 것을 목표로 합니다.

적어도 2020년부터 활동 중인 Sapphire Sleet은 APT38 및 BlueNoroff와 같은 다른 해킹 단체와 연결되어 있습니다. 2023년 11월, 연구자들은 이 그룹이 기술 평가 플랫폼을 모방한 인프라를 구축하여 이러한 사이트를 활용하여 소셜 엔지니어링 전술을 실행했다는 사실을 밝혀냈습니다.

사파이어 슬리트가 사용하는 기만적인 전술

작년에 이 그룹은 주로 벤처 캐피털리스트를 사칭하고, 타겟의 사업에 관심이 있는 척하여 온라인 회의를 주선하는 전략을 사용했습니다. 타겟이 회의에 참여하려고 하면 회의 관리자나 지원 팀에 도움을 요청하라는 오류 메시지가 표시됩니다.

피해자가 이를 준수하면 공격자는 문제를 해결한다는 명목으로 피해자의 운영 체제에 맞게 조정된 AppleScript(.scpt) 파일이나 Visual Basic Script(.vbs) 파일을 제공합니다. 이러한 스크립트는 피해자의 macOS 또는 Windows 기기에 악성 소프트웨어를 배포하도록 설계되어 공격자가 자격 증명을 수집하고 암호화폐 지갑에 액세스하여 후속 도난을 수행할 수 있도록 합니다.

타겟을 속이기 위해 합법적인 기관을 사칭

Sapphire Sleet은 LinkedIn에서 Goldman Sachs와 같은 유명 금융 기관의 채용 담당자를 사칭하는 것으로 관찰되었습니다. 이 전술에는 잠재적 대상에게 연락하여 위협 행위자가 제어하는 웹사이트에서 호스팅되는 기술 평가를 완료하도록 초대하는 것이 포함됩니다.

피해자는 사기성 사이트에 접속하기 위한 로그인 계정과 비밀번호를 제공받습니다. 로그인하고 가정된 평가와 관련된 파일을 다운로드하면, 실수로 장치에 맬웨어를 설치하여 공격자에게 시스템에 대한 무단 액세스를 허용합니다.

또한 사이버 보안 분석가들은 북한이 다각적인 전략의 일환으로 수천 명의 IT 근로자를 해외에 배치한 것을 강조했습니다. 이 근로자들은 합법적인 고용을 통해 정권에 수익을 창출하고, 지적 재산을 훔치기 위해 접근 권한을 악용하고, 몸값 요구를 위해 데이터 도난에 가담합니다.

북한 내에서 은행 계좌를 개설하거나 전화번호를 얻을 수 없는 등의 제한으로 인해 이러한 IT 요원들은 원격 작업을 확보할 수 있는 플랫폼에 액세스하기 위해 중개자에게 의존합니다. 이러한 중개자는 프리랜서 구인 사이트에 계정을 만들고 GitHub 및 LinkedIn과 같은 플랫폼에 가짜 프로필과 포트폴리오를 설정하여 채용 담당자와 상호 작용하고 취업 기회를 지원하는 등의 작업을 지원합니다.

사이버 범죄자들이 운영에 AI 기술을 도입하고 있습니다.

어떤 경우에는 이 그룹이 Faceswap과 같은 인공지능(AI) 도구를 활용하여 피해자에게서 얻은 사진과 문서를 변경하는 것으로 밝혀졌습니다. 종종 전문적인 설정에 배치되는 이러한 수정된 이미지는 이력서나 프로필에 사용되며, 때로는 여러 개의 신원으로 제출되어 구직 신청에 사용됩니다.

취업 지원을 위한 이미지 조작 외에도 북한 IT 종사자들은 음성 변경 소프트웨어를 포함한 다른 AI 기술을 탐색하여 기만 행위를 강화하고 있습니다.

북한 IT 노동자들은 자신들이 받는 지불을 추적하기 위한 잘 조직된 시스템을 유지하는 듯합니다. 그들의 공동 노력은 최소 37만 달러의 수익을 창출한 것으로 추산됩니다.