Sapphire Sleet APT
Связанная с Северной Кореей группа угроз, идентифицированная как Sapphire Sleet, как сообщается, собрала более 10 миллионов долларов в криптовалюте с помощью схем социальной инженерии, которые применялись в течение шести месяцев. Результаты исследований показывают, что различные кластеры угроз, связанные с Северной Кореей, создавали мошеннические профили LinkedIn. Эти профили, разработанные для имитации как рекрутеров, так и соискателей работы, направлены на содействие незаконной деятельности и получение финансовой поддержки для жестко санкционированного режима.
Sapphire Sleet, действующая по крайней мере с 2020 года, имеет связи с другими хакерскими организациями, такими как APT38 и BlueNoroff. В ноябре 2023 года исследователи обнаружили, что группа создала инфраструктуру, имитирующую платформы оценки навыков, используя эти сайты для реализации своих тактик социальной инженерии.
Оглавление
Обманная тактика, используемая Сапфировым Слитом
За последний год группа в основном использовала стратегию выдачи себя за венчурных капиталистов, симулируя интерес к бизнесу цели, чтобы организовать онлайн-встречу. Когда цели пытаются присоединиться к встрече, они сталкиваются с сообщениями об ошибках, в которых им предлагается обратиться за помощью к администратору встречи или в службу поддержки.
Если жертва подчиняется, злоумышленники предоставляют файл AppleScript (.scpt) или файл Visual Basic Script (.vbs), адаптированный к операционной системе жертвы, под видом решения проблемы. За кулисами эти скрипты предназначены для развертывания вредоносного программного обеспечения на устройстве жертвы macOS или Windows, что позволяет злоумышленникам собирать учетные данные и получать доступ к криптовалютным кошелькам для последующей кражи.
Выдача себя за законное лицо с целью обмана жертв
Sapphire Sleet был замечен в LinkedIn, выдавая себя за рекрутеров известных финансовых учреждений, таких как Goldman Sachs. Эта тактика заключается в том, чтобы связаться с потенциальными целями и предложить им пройти оценку навыков, размещенную на веб-сайте, контролируемом субъектами угрозы.
Жертвам предоставляется учетная запись и пароль для входа на мошеннический сайт. После входа в систему и загрузки файлов, связанных с предполагаемой оценкой, они непреднамеренно устанавливают вредоносное ПО на свои устройства, предоставляя злоумышленникам несанкционированный доступ к своим системам.
Кроме того, аналитики по кибербезопасности подчеркнули, что Северная Корея размещает тысячи ИТ-специалистов за рубежом как часть многогранной стратегии. Эти работники приносят режиму доход посредством законной занятости, используют свой доступ для кражи интеллектуальной собственности и занимаются кражей данных с целью получения выкупа.
Из-за ограничений в Северной Корее, таких как невозможность открыть банковские счета или получить номера телефонов, эти ИТ-специалисты полагаются на посредников, чтобы получить доступ к платформам, где они могут получить удаленную работу. Эти посредники помогают с такими задачами, как создание учетных записей на сайтах по трудоустройству фрилансеров и настройка поддельных профилей и портфолио на таких платформах, как GitHub и LinkedIn, для взаимодействия с рекрутерами и подачи заявок на вакансии.
Киберпреступники используют технологии искусственного интеллекта в своих операциях
В некоторых случаях было обнаружено, что группа использует инструменты искусственного интеллекта (ИИ), такие как Faceswap, для изменения фотографий и документов, полученных от жертв. Эти измененные изображения, часто размещаемые в профессиональной обстановке, затем используются в резюме или профилях — иногда под несколькими именами — подаваемых для заявлений о приеме на работу.
Помимо манипулирования изображениями при приеме на работу, северокорейские ИТ-специалисты также изучают другие технологии искусственного интеллекта, включая программное обеспечение для изменения голоса, чтобы улучшить свои методы обмана.
Северокорейские ИТ-работники, похоже, поддерживают хорошо организованную систему отслеживания получаемых ими платежей. Их совместные усилия, по оценкам, принесли не менее 370 000 долларов дохода.
