Sapphire Sleet APT
Powiązana z Koreą Północną grupa zagrożeń, znana jako Sapphire Sleet, podobno zebrała ponad 10 milionów dolarów w kryptowalucie za pomocą schematów socjotechnicznych przeprowadzonych w ciągu sześciu miesięcy. Wyniki badań wskazują, że różne klastry zagrożeń powiązane z Koreą Północną tworzyły fałszywe profile LinkedIn. Profile te, zaprojektowane tak, aby naśladować zarówno rekruterów, jak i osoby poszukujące pracy, mają na celu ułatwienie nielegalnych działań i generowanie wsparcia finansowego dla reżimu objętego surowymi sankcjami.
Aktywny od co najmniej 2020 r. Sapphire Sleet ma powiązania z innymi podmiotami hakerskimi, takimi jak APT38 i BlueNoroff. W listopadzie 2023 r. badacze odkryli, że grupa utworzyła infrastrukturę imitującą platformy oceny umiejętności, wykorzystując te witryny do wykonywania swoich taktyk inżynierii społecznej.
Spis treści
Podstępne taktyki stosowane przez szafirowy śnieg
Przez ostatni rok grupa stosowała głównie strategię podszywania się pod inwestorów venture capital, udając zainteresowanie działalnością celu, aby umówić się na spotkanie online. Gdy cele próbują dołączyć do spotkania, otrzymują komunikaty o błędach, które instruują ich, aby skontaktowali się z administratorem spotkania lub zespołem wsparcia w celu uzyskania pomocy.
Jeśli ofiara zastosuje się do polecenia, atakujący dostarczają plik AppleScript (.scpt) lub plik Visual Basic Script (.vbs) dostosowany do systemu operacyjnego ofiary pod pretekstem rozwiązania problemu. W tle skrypty te są projektowane w celu wdrożenia złośliwego oprogramowania na urządzeniu ofiary z systemem macOS lub Windows, umożliwiając atakującym zbieranie danych uwierzytelniających i dostęp do portfeli kryptowalut w celu późniejszej kradzieży.
Podszywanie się pod legalny podmiot w celu oszukania celów
Sapphire Sleet obserwowano podszywając się pod rekruterów znanych instytucji finansowych, takich jak Goldman Sachs, na LinkedIn. Ta taktyka polega na kontaktowaniu się z potencjalnymi celami i zapraszaniu ich do wypełnienia oceny umiejętności hostowanej na stronie internetowej kontrolowanej przez aktorów zagrożenia.
Ofiarom udostępniane są konta logowania i hasła, aby uzyskać dostęp do oszukańczej witryny. Po zalogowaniu się i pobraniu plików związanych z rzekomą oceną, nieumyślnie instalują złośliwe oprogramowanie na swoich urządzeniach, przyznając atakującym nieautoryzowany dostęp do swoich systemów.
Ponadto analitycy cyberbezpieczeństwa podkreślili, że Korea Północna wysyła tysiące pracowników IT za granicę w ramach wieloaspektowej strategii. Pracownicy ci generują dochód dla reżimu poprzez legalne zatrudnienie, wykorzystują swój dostęp do kradzieży własności intelektualnej i angażują się w kradzież danych w celu żądania okupu.
Ze względu na ograniczenia w Korei Północnej, takie jak brak możliwości otwierania kont bankowych lub uzyskiwania numerów telefonów, ci pracownicy IT polegają na pośrednikach, aby uzyskać dostęp do platform, na których mogą zabezpieczyć pracę zdalną. Ci pośrednicy pomagają w takich zadaniach, jak tworzenie kont na stronach z ofertami pracy dla freelancerów i tworzenie fałszywych profili i portfolio na platformach, takich jak GitHub i LinkedIn, aby wchodzić w interakcje z rekruterami i aplikować o oferty pracy.
Cyberprzestępcy wdrażają technologie AI w swoich działaniach
W niektórych przypadkach grupa korzystała z narzędzi sztucznej inteligencji (AI), takich jak Faceswap, aby zmieniać zdjęcia i dokumenty uzyskane od ofiar. Te zmodyfikowane obrazy, często umieszczane w profesjonalnych środowiskach, są następnie wykorzystywane w życiorysach lub profilach — czasami pod wieloma tożsamościami — składanych w aplikacjach o pracę.
Oprócz manipulacji obrazami na potrzeby podań o pracę, północnokoreańscy pracownicy branży IT badają również inne technologie sztucznej inteligencji, w tym oprogramowanie zmieniające głos, aby zwiększyć skuteczność swoich działań oszukańczych.
Pracownicy IT z Korei Północnej wydają się utrzymywać dobrze zorganizowany system śledzenia otrzymywanych płatności. Szacuje się, że ich łączone wysiłki wygenerowały co najmniej 370 000 USD przychodu.
