Sapphire Sleet APT
Grupi i kërcënimit i lidhur me Korenë e Veriut, i identifikuar si Sapphire Sleet, thuhet se ka mbledhur mbi 10 milionë dollarë në kriptomonedhë përmes skemave të inxhinierisë sociale të kryera gjatë një periudhe kohore gjashtëmujore. Gjetjet e hulumtimit tregojnë se grupe të ndryshme kërcënimesh të lidhura me Korenë e Veriut kanë krijuar profile mashtruese në LinkedIn. Këto profile, të krijuara për të imituar si rekrutuesit ashtu edhe punëkërkuesit, synojnë të lehtësojnë aktivitetet e paligjshme dhe të gjenerojnë mbështetje financiare për regjimin e sanksionuar rëndë.
Aktiv që nga të paktën 2020, Sapphire Sleet ndan lidhje me entitete të tjera hakerimi, si APT38 dhe BlueNoroff. Në nëntor 2023, studiuesit zbuluan se grupi kishte krijuar platforma vlerësimi të aftësive të imitimit të infrastrukturës, duke shfrytëzuar këto vende për të ekzekutuar taktikat e tij të inxhinierisë sociale.
Tabela e Përmbajtjes
Taktika mashtruese të përdorura nga Sapphire Sleet
Gjatë vitit të kaluar, grupi ka përdorur kryesisht një strategji të imitimit të kapitalistëve sipërmarrës, duke shtirë interes në biznesin e një objektivi për të organizuar një takim në internet. Kur objektivat tentojnë t'i bashkohen takimit, ata ndeshen me mesazhe gabimi që i udhëzojnë të kontaktojnë administratorin e takimit ose ekipin mbështetës për ndihmë.
Nëse viktima pajtohet, sulmuesit ofrojnë një skedar AppleScript (.scpt) ose një skedar Visual Basic Script (.vbs) të përshtatur për sistemin operativ të viktimës nën maskën e zgjidhjes së problemit. Në prapaskenë, këto skripte janë krijuar për të vendosur softuer me qëllim të keq në pajisjen macOS ose Windows të viktimës, duke u mundësuar sulmuesve të mbledhin kredencialet dhe të kenë akses në kuletat e kriptomonedhave për vjedhje të mëvonshme.
Imitimi i entitetit legjitim për të mashtruar objektivat
Sapphire Sleet është vërejtur duke imituar rekrutues për institucione të shquara financiare, si Goldman Sachs, në LinkedIn. Kjo taktikë përfshin kontaktimin e objektivave të mundshëm dhe ftimin e tyre për të përfunduar një vlerësim të aftësive të organizuar në një faqe interneti të kontrolluar nga aktorët e kërcënimit.
Viktimave u sigurohet një llogari identifikimi dhe fjalëkalim për të hyrë në faqen mashtruese. Me hyrjen dhe shkarkimin e skedarëve që lidhen me vlerësimin e supozuar, ata instalojnë pa dashje malware në pajisjet e tyre, duke u dhënë sulmuesve akses të paautorizuar në sistemet e tyre.
Për më tepër, analistët e sigurisë kibernetike kanë theksuar vendosjen e mijëra punonjësve të IT jashtë vendit nga Koreja e Veriut si pjesë e një strategjie të shumëanshme. Këta punëtorë gjenerojnë të ardhura për regjimin përmes punësimit legjitim, shfrytëzojnë aksesin e tyre për të vjedhur pronën intelektuale dhe për t'u përfshirë në vjedhjen e të dhënave për kërkesat për shpërblim.
Për shkak të kufizimeve brenda Koresë së Veriut, të tilla si pamundësia për të hapur llogari bankare ose për të marrë numra telefoni, këta operativë të IT-së mbështeten te ndërmjetësit për të fituar akses në platformat ku mund të sigurojnë punë në distancë. Këta lehtësues ndihmojnë me detyra si krijimi i llogarive në faqet e punës së pavarur dhe vendosja e profileve dhe portofoleve të rreme në platforma të tilla si GitHub dhe LinkedIn për të bashkëvepruar me rekrutuesit dhe për të aplikuar për mundësi punësimi.
Kriminelët kibernetikë po miratojnë teknologjitë e AI në operacionet e tyre
Në disa raste, grupi është gjetur duke përdorur mjete të inteligjencës artificiale (AI), të tilla si Faceswap, për të ndryshuar fotot dhe dokumentet e marra nga viktimat. Këto imazhe të modifikuara, shpesh të vendosura në mjedise profesionale, përdoren më pas në CV-të ose profilet - ndonjëherë nën identitete të shumta - të dorëzuara për aplikime për punë.
Përtej manipulimit të imazhit për aplikimet për punë, punonjësit e IT-së në Korenë e Veriut po eksplorojnë gjithashtu teknologji të tjera të AI, duke përfshirë softuerin për ndryshimin e zërit, për të rritur përpjekjet e tyre mashtruese.
Punonjësit e IT-së të Koresë së Veriut duket se mbajnë një sistem të mirëorganizuar për gjurmimin e pagesave që marrin. Përpjekjet e tyre të kombinuara vlerësohet të kenë gjeneruar të paktën 370,000 dollarë të ardhura.
