Sapphire Sleet APT
Skupina hrozieb pridružená k Severnej Kórei, identifikovaná ako Sapphire Sleet, údajne zozbierala viac ako 10 miliónov dolárov v kryptomene prostredníctvom schém sociálneho inžinierstva realizovaných v priebehu šiestich mesiacov. Zistenia výskumu naznačujú, že rôzne skupiny hrozieb spojené so Severnou Kóreou vytvárali podvodné profily LinkedIn. Tieto profily, navrhnuté tak, aby napodobňovali náborových pracovníkov aj uchádzačov o zamestnanie, majú za cieľ uľahčiť nezákonné činnosti a získať finančnú podporu pre prísne sankcionovaný režim.
Sapphire Sleet, ktorý je aktívny minimálne od roku 2020, zdieľa spojenia s inými hackerskými entitami, ako sú APT38 a BlueNoroff. V novembri 2023 výskumníci odhalili, že skupina vytvorila platformy na hodnotenie zručností napodobňujúcich infraštruktúru a využila tieto stránky na vykonávanie svojich taktík sociálneho inžinierstva.
Obsah
Podvodná taktika používaná zafírovým plieskom
Počas minulého roka skupina primárne využívala stratégiu vydávania sa za rizikových kapitalistov, predstierajúc záujem o podnikanie cieľovej osoby, aby zorganizovala online stretnutie. Keď sa ciele pokúsia pripojiť k schôdzi, zaznamenajú chybové hlásenia, ktoré ich inštruujú, aby kontaktovali administrátora stretnutia alebo tím podpory so žiadosťou o pomoc.
Ak obeť vyhovie, útočníci poskytnú súbor AppleScript (.scpt) alebo súbor Visual Basic Script (.vbs) prispôsobený operačnému systému obete pod zámienkou vyriešenia problému. V zákulisí sú tieto skripty navrhnuté tak, aby nasadili škodlivý softvér na zariadení macOS alebo Windows obete, čo útočníkom umožnilo získať poverenia a získať prístup k kryptomenovým peňaženkám pre následnú krádež.
Vydávanie sa za legitímnu entitu s cieľom oklamať ciele
Sapphire Sleet bolo pozorované, ako sa na LinkedIn vydáva za náborových pracovníkov pre prominentné finančné inštitúcie, ako je Goldman Sachs. Táto taktika zahŕňa kontaktovanie potenciálnych cieľov a ich pozvanie na vykonanie hodnotenia zručností umiestneného na webovej stránke kontrolovanej aktérmi hrozby.
Obetiam je poskytnutý prihlasovací účet a heslo na prístup na podvodnú stránku. Po prihlásení a stiahnutí súborov súvisiacich s údajným hodnotením neúmyselne nainštalujú do svojich zariadení malvér, čím útočníkom poskytnú neoprávnený prístup k ich systémom.
Analytici kybernetickej bezpečnosti navyše zdôraznili, že Severná Kórea nasadila tisíce IT pracovníkov v zahraničí ako súčasť mnohostrannej stratégie. Títo pracovníci vytvárajú príjem pre režim prostredníctvom legitímneho zamestnania, zneužívajú svoj prístup na krádeže duševného vlastníctva a zapájajú sa do krádeží údajov s cieľom získať výkupné.
Kvôli obmedzeniam v Severnej Kórei, ako je nemožnosť otvoriť si bankové účty alebo získať telefónne čísla, sa títo IT pracovníci spoliehajú na sprostredkovateľov, aby získali prístup k platformám, kde si môžu zabezpečiť prácu na diaľku. Títo facilitátori pomáhajú s úlohami, ako je vytváranie účtov na nezávislých pracovných miestach a vytváranie falošných profilov a portfólií na platformách ako GitHub a LinkedIn, aby mohli komunikovať s náborovými pracovníkmi a uchádzať sa o pracovné príležitosti.
Kyberzločinci pri svojich operáciách využívajú technológie AI
V niektorých prípadoch sa zistilo, že skupina využíva nástroje umelej inteligencie (AI), ako je Faceswap, na úpravu fotografií a dokumentov získaných od obetí. Tieto upravené obrázky, často umiestnené v profesionálnom prostredí, sa potom používajú v životopisoch alebo profiloch – niekedy pod viacerými identitami – odoslaných do žiadostí o zamestnanie.
Okrem manipulácie s obrázkami pre pracovné aplikácie severokórejskí IT pracovníci tiež skúmajú ďalšie technológie AI vrátane softvéru na zmenu hlasu, aby zvýšili svoje klamlivé úsilie.
Zdá sa, že severokórejskí IT pracovníci udržiavajú dobre organizovaný systém na sledovanie platieb, ktoré dostávajú. Odhaduje sa, že ich spoločné úsilie prinieslo príjmy vo výške najmenej 370 000 USD.
