Sapphire Sleet APT
Tiek ziņots, ka ar Ziemeļkoreju saistītā draudu grupa, kas identificēta kā Sapphire Sleet, ir ieguvusi vairāk nekā 10 miljonus ASV dolāru kriptovalūtā, izmantojot sociālās inženierijas shēmas, kas veiktas sešu mēnešu laikā. Pētījumu rezultāti liecina, ka dažādas ar Ziemeļkoreju saistītas draudu kopas ir izveidojušas krāpnieciskus LinkedIn profilus. Šo profilu mērķis ir atdarināt gan vervētājus, gan darba meklētājus, un to mērķis ir veicināt nelikumīgas darbības un radīt finansiālu atbalstu stingri sodītajam režīmam.
Sapphire Sleet, kas darbojas vismaz kopš 2020. gada, koplieto savienojumus ar citām uzlaušanas vienībām, piemēram, APT38 un BlueNoroff. 2023. gada novembrī pētnieki atklāja, ka grupa ir izveidojusi infrastruktūras prasmju novērtēšanas platformas, izmantojot šīs vietnes, lai īstenotu savu sociālās inženierijas taktiku.
Satura rādītājs
Maldinoša taktika, ko izmanto Sapphire Sleet
Pēdējā gada laikā grupa galvenokārt ir izmantojusi stratēģiju, uzdodoties par riska kapitālistiem, izliekoties par interesi par mērķa uzņēmumu, lai organizētu tiešsaistes tikšanos. Kad mērķi mēģina pievienoties sapulcei, tiek parādīti kļūdu ziņojumi, kas liek sazināties ar sapulces administratoru vai atbalsta komandu, lai saņemtu palīdzību.
Ja upuris to ievēro, uzbrucēji problēmas risināšanas aizsegā nodrošina AppleScript (.scpt) vai Visual Basic Script (.vbs) failu, kas ir pielāgots upura operētājsistēmai. Aizkulisēs šie skripti ir paredzēti ļaunprātīgas programmatūras izvietošanai upura MacOS vai Windows ierīcē, ļaujot uzbrucējiem iegūt akreditācijas datus un piekļūt kriptovalūtas makiem turpmākai zādzībai.
Uzdošanās par likumīgu personu, lai maldinātu mērķus
Ir novērots, ka Sapphire Sleet vietnē LinkedIn uzdodas par vervētājiem ievērojamām finanšu iestādēm, piemēram, Goldman Sachs. Šī taktika ietver sazināšanos ar potenciālajiem mērķiem un uzaicināšanu veikt prasmju novērtējumu, kas tiek mitināts tīmekļa vietnē, kuru kontrolē apdraudējuma dalībnieki.
Cietušajiem tiek nodrošināts pierakstīšanās konts un parole, lai piekļūtu krāpnieciskajai vietnei. Piesakoties un lejupielādējot ar iespējamo novērtējumu saistītos failus, viņi savās ierīcēs netīšām instalē ļaunprātīgu programmatūru, nodrošinot uzbrucējiem nesankcionētu piekļuvi savām sistēmām.
Turklāt kiberdrošības analītiķi ir uzsvēruši, ka Ziemeļkoreja ir izvietojusi tūkstošiem IT darbinieku ārvalstīs kā daļu no daudzpusīgas stratēģijas. Šie darbinieki gūst ienākumus režīmam, izmantojot likumīgu nodarbinātību, izmanto savu piekļuvi, lai nozagtu intelektuālo īpašumu un iesaistās datu zādzībās, lai pieprasītu izpirkuma maksu.
Sakarā ar ierobežojumiem Ziemeļkorejā, piemēram, nespēju atvērt bankas kontus vai iegūt tālruņu numurus, šie IT darbinieki paļaujas uz starpniekiem, lai piekļūtu platformām, kurās viņi var nodrošināt attālas darbavietas. Šie koordinatori palīdz veikt tādus uzdevumus kā kontu izveide ārštata darba vietnēs un viltotu profilu un portfeļu iestatīšana tādās platformās kā GitHub un LinkedIn, lai sazinātos ar vervētājiem un pieteiktos darba iespējām.
Kibernoziedznieki savās darbībās izmanto mākslīgā intelekta tehnoloģijas
Dažos gadījumos tika atklāts, ka grupa izmanto mākslīgā intelekta (AI) rīkus, piemēram, Faceswap, lai mainītu fotogrāfijas un dokumentus, kas iegūti no upuriem. Šie pārveidotie attēli, kas bieži tiek ievietoti profesionālos iestatījumos, pēc tam tiek izmantoti CV vai profilos (dažreiz ar vairākām identitātēm), kas iesniegti darba pieteikumiem.
Papildus attēlu manipulācijām darba pieteikumos Ziemeļkorejas IT darbinieki pēta arī citas mākslīgā intelekta tehnoloģijas, tostarp balss maiņas programmatūru, lai uzlabotu savus maldinošos centienus.
Šķiet, ka Ziemeļkorejas IT darbinieki uztur labi organizētu sistēmu saņemto maksājumu izsekošanai. Tiek lēsts, ka viņu kopīgie centieni ir radījuši vismaz 370 000 USD ieņēmumus.
