Sapphire Sleet APT
Den Nord-Korea-tilknyttede trusselgruppen identifisert som Sapphire Sleet har angivelig høstet over 10 millioner dollar i kryptovaluta gjennom sosiale ingeniørordninger utført over en seks måneders tidsramme. Forskningsfunn indikerer at ulike trusselklynger knyttet til Nord-Korea har opprettet falske LinkedIn-profiler. Disse profilene, designet for å etterligne både rekrutterere og jobbsøkere, har som mål å legge til rette for ulovlige aktiviteter og generere økonomisk støtte til det sterkt sanksjonerte regimet.
Aktiv siden minst 2020, Sapphire Sleet deler forbindelser med andre hacking-enheter, som APT38 og BlueNoroff. I november 2023 avdekket forskere at gruppen hadde satt opp infrastruktur som etterligner ferdighetsvurderingsplattformer, og utnyttet disse nettstedene til å utføre sine sosiale ingeniørtaktikker.
Innholdsfortegnelse
Villedende taktikk brukt av Sapphire Sleet
I løpet av det siste året har gruppen først og fremst brukt en strategi for å utgi seg for å være risikokapitalister, forestilt interesse for et måls virksomhet for å arrangere et nettmøte. Når mål prøver å bli med i møtet, får de feilmeldinger som ber dem kontakte møteadministratoren eller støtteteamet for å få hjelp.
Hvis offeret etterkommer, gir angriperne en AppleScript-fil (.scpt) eller en Visual Basic Script-fil (.vbs) som er skreddersydd for offerets operativsystem under dekke av å løse problemet. Bak kulissene er disse skriptene designet for å distribuere skadelig programvare på offerets macOS- eller Windows-enhet, slik at angriperne kan hente inn legitimasjon og få tilgang til kryptovaluta-lommebøker for senere tyveri.
Å utgi seg for en legitim enhet for å lure mål
The Sapphire Sleet har blitt observert etterligne rekrutterere for fremtredende finansinstitusjoner, som Goldman Sachs, på LinkedIn. Denne taktikken innebærer å kontakte potensielle mål og invitere dem til å fullføre en ferdighetsvurdering som er vert på et nettsted kontrollert av trusselaktørene.
Ofrene får en påloggingskonto og passord for å få tilgang til det uredelige nettstedet. Når de logger på og laster ned filer relatert til den antatte vurderingen, installerer de utilsiktet skadelig programvare på enhetene sine, og gir angripere uautorisert tilgang til systemene deres.
I tillegg har cybersikkerhetsanalytikere fremhevet Nord-Koreas utplassering av tusenvis av IT-arbeidere i utlandet som en del av en mangefasettert strategi. Disse arbeiderne genererer inntekter til regimet gjennom lovlig ansettelse, utnytter deres tilgang til å stjele åndsverk og engasjerer seg i datatyveri for krav om løsepenger.
På grunn av restriksjoner i Nord-Korea, som manglende evne til å åpne bankkontoer eller skaffe telefonnumre, er disse IT-operatørene avhengige av mellommenn for å få tilgang til plattformer der de kan sikre eksterne jobber. Disse tilretteleggerne hjelper til med oppgaver som å opprette kontoer på frilansjobbsider og sette opp falske profiler og porteføljer på plattformer som GitHub og LinkedIn for å samhandle med rekrutterere og søke jobbmuligheter.
Cyberkriminelle tar i bruk AI-teknologi i sin virksomhet
I noen tilfeller har gruppen blitt funnet å utnytte kunstig intelligens (AI)-verktøy, som Faceswap, for å endre bilder og dokumenter hentet fra ofre. Disse modifiserte bildene, ofte plassert i profesjonelle omgivelser, brukes deretter på CV-er eller profiler – noen ganger under flere identiteter – som sendes inn for jobbsøknader.
Utover bildemanipulering for jobbsøknader, utforsker nordkoreanske IT-arbeidere også andre AI-teknologier, inkludert stemmeendrende programvare, for å forbedre deres villedende innsats.
De nordkoreanske IT-arbeiderne ser ut til å ha et godt organisert system for å spore betalingene de mottar. Deres samlede innsats anslås å ha generert minst $370 000 i inntekter.
