Sapphire Sleet APT
De Noord-Koreaanse dreigingsgroep die bekendstaat als de Sapphire Sleet heeft naar verluidt meer dan $ 10 miljoen aan cryptocurrency verzameld via social engineering-schema's die in een tijdsbestek van zes maanden zijn uitgevoerd. Onderzoeksresultaten geven aan dat verschillende dreigingsclusters die verbonden zijn met Noord-Korea frauduleuze LinkedIn-profielen hebben gemaakt. Deze profielen, die zijn ontworpen om zowel recruiters als werkzoekenden na te bootsen, zijn bedoeld om illegale activiteiten te faciliteren en financiële steun te genereren voor het zwaar gesanctioneerde regime.
De Sapphire Sleet is sinds ten minste 2020 actief en heeft connecties met andere hacking-entiteiten, zoals APT38 en BlueNoroff. In november 2023 ontdekten onderzoekers dat de groep infrastructuur had opgezet die vaardigheidsbeoordelingsplatforms nabootste en deze sites gebruikte om zijn social engineering-tactieken uit te voeren.
Inhoudsopgave
Misleidende tactieken gebruikt door de saffiersneeuw
Het afgelopen jaar heeft de groep voornamelijk een strategie gebruikt om zich voor te doen als durfkapitalisten, door te doen alsof ze interesse hebben in de zaken van een doelwit om een onlinevergadering te regelen. Wanneer doelwitten proberen deel te nemen aan de vergadering, krijgen ze foutmeldingen te zien die hen instrueren om contact op te nemen met de beheerder van de vergadering of het ondersteuningsteam voor assistentie.
Als het slachtoffer hieraan voldoet, verstrekken de aanvallers een AppleScript (.scpt)-bestand of een Visual Basic Script (.vbs)-bestand dat is afgestemd op het besturingssysteem van het slachtoffer, onder het mom van het oplossen van het probleem. Achter de schermen zijn deze scripts ontworpen om schadelijke software te implementeren op het macOS- of Windows-apparaat van het slachtoffer, waardoor de aanvallers inloggegevens kunnen verzamelen en toegang kunnen krijgen tot cryptocurrency-wallets voor latere diefstal.
Zich voordoen als een legitieme entiteit om doelwitten te misleiden
De Sapphire Sleet is waargenomen terwijl ze zich voordeden als recruiters voor vooraanstaande financiële instellingen, zoals Goldman Sachs, op LinkedIn. Deze tactiek omvat het contacteren van potentiële doelwitten en hen uitnodigen om een vaardighedenbeoordeling te voltooien die wordt gehost op een website die wordt beheerd door de dreigingsactoren.
Slachtoffers krijgen een inlogaccount en wachtwoord om toegang te krijgen tot de frauduleuze site. Na het inloggen en het downloaden van bestanden die gerelateerd zijn aan de veronderstelde beoordeling, installeren ze onbedoeld malware op hun apparaten, waardoor aanvallers ongeautoriseerde toegang krijgen tot hun systemen.
Daarnaast hebben cybersecurityanalisten de inzet van duizenden IT-medewerkers in het buitenland door Noord-Korea benadrukt als onderdeel van een veelzijdige strategie. Deze medewerkers genereren inkomsten voor het regime door middel van legitieme werkgelegenheid, misbruiken hun toegang om intellectueel eigendom te stelen en plegen datadiefstal voor losgeldeisen.
Vanwege beperkingen in Noord-Korea, zoals het onvermogen om bankrekeningen te openen of telefoonnummers te verkrijgen, vertrouwen deze IT-medewerkers op tussenpersonen om toegang te krijgen tot platforms waar ze externe banen kunnen bemachtigen. Deze facilitators helpen met taken zoals het aanmaken van accounts op freelance-vacaturesites en het opzetten van nepprofielen en portfolio's op platforms zoals GitHub en LinkedIn om te communiceren met recruiters en te solliciteren naar vacatures.
Cybercriminelen passen AI-technologieën toe in hun operaties
In sommige gevallen is de groep betrapt op het gebruik van kunstmatige intelligentie (AI) tools, zoals Faceswap, om foto's en documenten van slachtoffers te veranderen. Deze aangepaste afbeeldingen, vaak geplaatst in professionele settings, worden vervolgens gebruikt op cv's of profielen - soms onder meerdere identiteiten - die worden ingediend voor sollicitaties.
Naast beeldmanipulatie voor sollicitaties onderzoeken Noord-Koreaanse IT-medewerkers ook andere AI-technologieën, waaronder software voor stemverandering, om hun misleidende methoden te verbeteren.
De Noord-Koreaanse IT-medewerkers lijken een goed georganiseerd systeem te hebben om de betalingen die ze ontvangen bij te houden. Hun gezamenlijke inspanningen hebben naar schatting minstens $ 370.000 aan inkomsten gegenereerd.
