Sapphire Sleet APT
Grupul de amenințări afiliat Coreei de Nord, identificat ca Sapphire Sleet, a strâns peste 10 milioane de dolari în criptomonede prin scheme de inginerie socială desfășurate pe o perioadă de șase luni. Rezultatele cercetării indică faptul că diverse grupuri de amenințări conectate cu Coreea de Nord au creat profiluri LinkedIn frauduloase. Aceste profiluri, concepute pentru a imita atât recrutorii, cât și persoanele aflate în căutarea unui loc de muncă, urmăresc să faciliteze activitățile ilicite și să genereze sprijin financiar pentru regimul aspru sancționat.
Activ din 2020 cel puțin, Sapphire Sleet partajează conexiuni cu alte entități de hacking, cum ar fi APT38 și BlueNoroff. În noiembrie 2023, cercetătorii au descoperit că grupul a înființat platforme de evaluare a competențelor care imita infrastructura, valorificând aceste site-uri pentru a-și executa tacticile de inginerie socială.
Cuprins
Tactici înșelătoare folosite de lapovița de safir
În ultimul an, grupul a folosit în primul rând o strategie de uzurpare a identității capitaliștilor de risc, prefăcându-și interesul pentru afacerea unei ținte pentru a aranja o întâlnire online. Când țintele încearcă să se alăture întâlnirii, întâlnesc mesaje de eroare care le indică să contacteze administratorul întâlnirii sau echipa de asistență pentru asistență.
Dacă victima se conformează, atacatorii furnizează un fișier AppleScript (.scpt) sau un fișier Visual Basic Script (.vbs) adaptat sistemului de operare al victimei sub pretextul rezolvării problemei. În culise, aceste scripturi sunt concepute pentru a implementa software rău intenționat pe dispozitivul macOS sau Windows al victimei, permițând atacatorilor să colecteze acreditări și să acceseze portofelele cu criptomonede pentru furt ulterior.
Uzurparea identității unei entități legitime pentru a păcăli ținte
Sapphire Sleet a fost observat urmând identitatea unor recrutori pentru instituții financiare importante, cum ar fi Goldman Sachs, pe LinkedIn. Această tactică implică contactarea țintelor potențiale și invitarea acestora să finalizeze o evaluare a competențelor găzduite pe un site web controlat de actorii amenințărilor.
Victimelor li se oferă un cont de conectare și o parolă pentru a accesa site-ul fraudulos. La conectarea și descărcarea fișierelor legate de presupusa evaluare, aceștia instalează din greșeală malware pe dispozitivele lor, acordând atacatorilor acces neautorizat la sistemele lor.
În plus, analiștii de securitate cibernetică au subliniat desfășurarea de către Coreea de Nord a mii de lucrători IT în străinătate, ca parte a unei strategii cu mai multe fațete. Acești lucrători generează venituri pentru regim prin angajare legitimă, exploatează accesul lor pentru a fura proprietatea intelectuală și se angajează în furtul de date pentru cereri de răscumpărare.
Din cauza restricțiilor din Coreea de Nord, cum ar fi incapacitatea de a deschide conturi bancare sau de a obține numere de telefon, acești agenți IT se bazează pe intermediari pentru a obține acces la platforme de unde își pot asigura locuri de muncă la distanță. Acești facilitatori ajută la activități precum crearea de conturi pe site-uri de locuri de muncă independente și crearea de profiluri și portofolii false pe platforme precum GitHub și LinkedIn pentru a interacționa cu recrutorii și a aplica pentru oportunități de angajare.
Infractorii cibernetici adoptă tehnologii AI în operațiunile lor
În unele cazuri, s-a descoperit că grupul folosește instrumente de inteligență artificială (AI), cum ar fi Faceswap, pentru a modifica fotografiile și documentele obținute de la victime. Aceste imagini modificate, adesea plasate în setări profesionale, sunt apoi folosite pe CV-uri sau profiluri – uneori sub mai multe identități – trimise pentru cererile de angajare.
Dincolo de manipularea imaginilor pentru cererile de angajare, lucrătorii IT din Coreea de Nord explorează și alte tehnologii AI, inclusiv software de schimbare a vocii, pentru a-și spori eforturile înșelătoare.
Lucrătorii din domeniul IT din Coreea de Nord par să mențină un sistem bine organizat de urmărire a plăților pe care le primesc. Se estimează că eforturile lor combinate au generat venituri de cel puțin 370.000 USD.
