Sapphire Sleet APT
S Severno Korejo povezana groženjska skupina, identificirana kot Sapphire Sleet, naj bi pridobila več kot 10 milijonov dolarjev v kriptovaluti s shemami socialnega inženiringa, ki so se izvajale v šestmesečnem časovnem okviru. Ugotovitve raziskav kažejo, da so različne skupine groženj, povezane s Severno Korejo, ustvarjale lažne profile LinkedIn. Ti profili, zasnovani tako, da posnemajo zaposlovalce in iskalce zaposlitve, so namenjeni omogočanju nedovoljenih dejavnosti in ustvarjanju finančne podpore za režim, ki je strogo sankcioniran.
Sapphire Sleet, ki je aktiven vsaj od leta 2020, deli povezave z drugimi hekerskimi entitetami, kot sta APT38 in BlueNoroff. Novembra 2023 so raziskovalci odkrili, da je skupina vzpostavila platforme za ocenjevanje spretnosti, ki posnemajo infrastrukturo, s čimer je ta spletna mesta izkoristila za izvajanje svojih taktik socialnega inženiringa.
Kazalo
Zavajajoče taktike, ki jih uporablja Sapphire Sleet
V preteklem letu je skupina uporabljala predvsem strategijo lažnega predstavljanja vlagateljev tveganega kapitala, pri čemer je hlinila zanimanje za ciljno podjetje, da bi organizirala spletno srečanje. Ko se cilji poskušajo pridružiti srečanju, naletijo na sporočila o napakah, ki jim nalagajo, naj se za pomoč obrnejo na skrbnika srečanja ali skupino za podporo.
Če žrtev ugodi, napadalci zagotovijo datoteko AppleScript (.scpt) ali datoteko Visual Basic Script (.vbs), prilagojeno operacijskemu sistemu žrtve, pod krinko rešitve težave. Ti skripti so v zakulisju zasnovani za namestitev zlonamerne programske opreme v žrtvino napravo macOS ali Windows, kar napadalcem omogoča zbiranje poverilnic in dostop do denarnic za kriptovalute za kasnejšo krajo.
Oponašanje zakonitega subjekta za preslepitev tarč
Sapphire Sleet je bila opažena, ko je na LinkedInu lažno predstavljala nabornike za ugledne finančne institucije, kot je Goldman Sachs. Ta taktika vključuje vzpostavitev stika s potencialnimi tarčami in njihovo povabilo, da opravijo oceno spretnosti, ki gostuje na spletnem mestu, ki ga nadzorujejo akterji groženj.
Žrtvam je na voljo račun za prijavo in geslo za dostop do goljufivega mesta. Po prijavi in prenosu datotek, povezanih z domnevno oceno, nehote na svoje naprave namestijo zlonamerno programsko opremo, ki napadalcem omogoči nepooblaščen dostop do njihovih sistemov.
Poleg tega so analitiki kibernetske varnosti poudarili, da je Severna Koreja napotila na tisoče delavcev IT v tujino kot del večplastne strategije. Ti delavci ustvarjajo prihodke za režim z zakonito zaposlitvijo, izkoriščajo svoj dostop za krajo intelektualne lastnine in se ukvarjajo s krajo podatkov za zahteve po odkupnini.
Zaradi omejitev v Severni Koreji, kot je nezmožnost odpiranja bančnih računov ali pridobitve telefonskih številk, se ti operaterji IT zanašajo na posrednike, da pridobijo dostop do platform, kjer si lahko zagotovijo delovna mesta na daljavo. Ti posredniki pomagajo pri nalogah, kot je ustvarjanje računov na spletnih mestih za samostojna dela ter nastavitev lažnih profilov in portfeljev na platformah, kot sta GitHub in LinkedIn, za interakcijo z zaposlovalci in prijavo na zaposlitvene priložnosti.
Kibernetski kriminalci v svojih operacijah sprejemajo tehnologije umetne inteligence
V nekaterih primerih je bilo ugotovljeno, da skupina uporablja orodja umetne inteligence (AI), kot je Faceswap, za spreminjanje fotografij in dokumentov, pridobljenih od žrtev. Te spremenjene slike, ki so pogosto postavljene v poklicnih okoljih, se nato uporabijo v življenjepisih ali profilih – včasih pod več identitetami –, predloženih za prošnje za zaposlitev.
Poleg manipulacije s slikami za prošnje za zaposlitev severnokorejski delavci IT raziskujejo tudi druge tehnologije umetne inteligence, vključno s programsko opremo za spreminjanje glasu, da bi izboljšali svoja zavajajoča prizadevanja.
Zdi se, da severnokorejski IT delavci vzdržujejo dobro organiziran sistem za sledenje plačil, ki jih prejemajo. Ocenjuje se, da so njihova skupna prizadevanja ustvarila najmanj 370.000 $ prihodkov.
