Sapphire Sleet APT
Pranešama, kad su Šiaurės Korėja susijusi grėsmių grupė, vadinama „Sapphire Sleet“, per šešis mėnesius per socialinės inžinerijos schemas surinko daugiau nei 10 milijonų dolerių kriptovaliutų. Tyrimų rezultatai rodo, kad įvairios grėsmių grupės, susijusios su Šiaurės Korėja, kuria nesąžiningus „LinkedIn“ profilius. Šiais profiliais, sukurtais imituoti tiek įdarbintojus, tiek darbo ieškančius asmenis, siekiama palengvinti neteisėtą veiklą ir sukurti finansinę paramą griežtai sankcionuotam režimui.
„Sapphire Sleet“, veikiantis mažiausiai nuo 2020 m., palaiko ryšius su kitais įsilaužimo subjektais, tokiais kaip APT38 ir „BlueNoroff“. 2023 m. lapkritį mokslininkai išsiaiškino, kad grupė sukūrė infrastruktūros, imituojančias įgūdžių vertinimo platformas, panaudodama šias svetaines savo socialinės inžinerijos taktikai įgyvendinti.
Turinys
Safyro šlapdribai naudojama apgaulinga taktika
Per pastaruosius metus grupė visų pirma taikė rizikos kapitalistų apsimetinėjimo strategiją, apsimesdama susidomėjimu tikslinės įmonės verslu, kad surengtų internetinį susitikimą. Kai taikiniai bando prisijungti prie susitikimo, jie gauna klaidų pranešimus, kuriuose nurodoma kreiptis pagalbos į susitikimo administratorių arba palaikymo komandą.
Jei auka to laikosi, užpuolikai pateikia AppleScript (.scpt) failą arba Visual Basic Script (.vbs) failą, pritaikytą aukos operacinei sistemai, prisidengdami problemos sprendimu. Užkulisiuose šie scenarijai yra skirti įdiegti kenkėjišką programinę įrangą aukos „MacOS“ arba „Windows“ įrenginyje, kad užpuolikai galėtų surinkti kredencialus ir pasiekti kriptovaliutų pinigines, kad vėliau pavogtų.
Apsimetinėti teisėta esybe siekiant apgauti taikinius
Pastebėta, kad „Sapphire Sleet“ „LinkedIn“ tinkle apsimetinėja žinomų finansinių institucijų, tokių kaip „Goldman Sachs“, įdarbintojais. Ši taktika apima susisiekimą su potencialiais taikiniais ir pakvietimą atlikti įgūdžių įvertinimą, patalpintą svetainėje, kurią kontroliuoja grėsmės veikėjai.
Aukoms suteikiama prisijungimo paskyra ir slaptažodis, kad galėtų patekti į sukčiavimo svetainę. Prisijungę ir atsisiųsdami su numanomu vertinimu susijusius failus, jie netyčia savo įrenginiuose įdiegia kenkėjiškas programas, suteikdami užpuolikams neteisėtą prieigą prie savo sistemų.
Be to, kibernetinio saugumo analitikai pabrėžė, kad Šiaurės Korėja siunčia tūkstančius IT darbuotojų užsienyje kaip daugialypės strategijos dalį. Šie darbuotojai gauna pajamas režimui iš teisėto darbo, naudojasi savo prieiga, kad pavogtų intelektinę nuosavybę ir užsiima duomenų vagystėmis siekdami išpirkos.
Dėl apribojimų Šiaurės Korėjoje, pvz., negalėjimo atidaryti banko sąskaitų ar gauti telefono numerių, šie IT darbuotojai pasikliauja tarpininkais, norėdami gauti prieigą prie platformų, kuriose gali užsitikrinti nuotolines darbo vietas. Šie pagalbininkai padeda atlikti tokias užduotis kaip sukurti paskyras laisvai samdomų darbo vietų svetainėse ir sukurti netikrus profilius bei portfelius tokiose platformose kaip „GitHub“ ir „LinkedIn“, kad galėtų bendrauti su įdarbintojais ir kreiptis dėl įsidarbinimo galimybių.
Kibernetiniai nusikaltėliai savo veikloje taiko dirbtinio intelekto technologijas
Kai kuriais atvejais buvo nustatyta, kad grupė naudoja dirbtinio intelekto (AI) įrankius, tokius kaip „Faceswap“, kad pakeistų aukų nuotraukas ir dokumentus. Šie modifikuoti vaizdai, dažnai dedami į profesionalius nustatymus, vėliau naudojami gyvenimo aprašymuose arba profiliuose (kartais su keliomis tapatybėmis), pateikiamuose darbo paraiškoms.
Siekdami sustiprinti savo apgaulingas pastangas, Šiaurės Korėjos IT darbuotojai ne tik manipuliuoja atvaizdais, kad galėtų dirbti, bet ir tiria kitas dirbtinio intelekto technologijas, įskaitant balso keitimo programinę įrangą.
Atrodo, kad Šiaurės Korėjos IT darbuotojai palaiko gerai organizuotą gaunamų mokėjimų stebėjimo sistemą. Apskaičiuota, kad jų bendros pastangos atnešė mažiausiai 370 000 USD pajamų.
