Sapphire Sleet APT
Група претњи повезана са Северном Корејом идентификована као Саппхире Слеет наводно је прикупила преко 10 милиона долара у криптовалути кроз шеме социјалног инжењеринга спроведене током шестомесечног временског периода. Налази истраживања показују да различити кластери претњи повезани са Северном Корејом стварају лажне ЛинкедИн профиле. Ови профили, осмишљени да опонашају и регруте и оне који траже посао, имају за циљ да олакшају незаконите активности и генеришу финансијску подршку строго санкционисаном режиму.
Активан од најмање 2020. године, Саппхире Слеет дели везе са другим хакерским ентитетима, као што су АПТ38 и БлуеНорофф. У новембру 2023., истраживачи су открили да је група поставила инфраструктуру која опонаша платформе за процену вештина, користећи ове сајтове да спроведе своју тактику друштвеног инжењеринга.
Преглед садржаја
Обмањујућа тактика коју користи Саппхире Слеет
Током прошле године, група је првенствено користила стратегију лажног представљања ризичних капиталиста, претварајући се да је заинтересован за посао циља да би се договорио онлајн састанак. Када циљеви покушају да се придруже састанку, наилазе на поруке о грешци које им упућују да контактирају администратора састанка или тим за подршку за помоћ.
Ако се жртва повинује, нападачи обезбеђују АпплеСцрипт (.сцпт) датотеку или Висуал Басиц Сцрипт (.вбс) датотеку прилагођену оперативном систему жртве под маском решавања проблема. Иза кулиса, ове скрипте су дизајниране да примене злонамерни софтвер на мацОС или Виндовс уређају жртве, омогућавајући нападачима да прикупе акредитиве и приступе новчаницима криптовалута за каснију крађу.
Лажно представљање легитимног ентитета да би се преварили циљеви
Саппхире Слеет је примећен како се на ЛинкедИну лажно представља као регрутатори за истакнуте финансијске институције, као што је Голдман Сацхс. Ова тактика укључује контактирање потенцијалних мета и позивање их да заврше процену вештина која се налази на веб локацији коју контролишу актери претње.
Жртве добијају налог за пријављивање и лозинку за приступ лажном сајту. Након пријављивања и преузимања датотека у вези са наводном проценом, они ненамерно инсталирају малвер на своје уређаје, омогућавајући нападачима неовлашћени приступ њиховим системима.
Поред тога, аналитичари за сајбер безбедност истакли су да је Северна Кореја распоредила хиљаде ИТ радника у иностранству као део вишеструке стратегије. Ови радници остварују приход за режим путем легитимног запошљавања, искоришћавају свој приступ за крађу интелектуалне својине и учествују у крађи података ради тражења откупнине.
Због ограничења унутар Северне Кореје, као што је немогућност отварања банковних рачуна или добијања бројева телефона, ови ИТ оперативци се ослањају на посреднике да би добили приступ платформама на којима могу да обезбеде послове на даљину. Ови фасилитатори помажу у задацима као што су креирање налога на сајтовима за запошљавање слободних радника и постављање лажних профила и портфеља на платформама као што су ГитХуб и ЛинкедИн за интеракцију са регрутерима и пријављивање за могућности запошљавања.
Сајбер криминалци усвајају АИ технологије у својим операцијама
У неким случајевима, утврђено је да група користи алате вештачке интелигенције (АИ), као што је Фацесвап, да мења фотографије и документе добијене од жртава. Ове модификоване слике, које се често постављају у професионалне поставке, затим се користе у биографијама или профилима—понекад под вишеструким идентитетима—који се подносе за пријаве за посао.
Осим манипулације сликама за апликације за посао, севернокорејски ИТ радници такође истражују друге технологије вештачке интелигенције, укључујући софтвер за промену гласа, како би побољшали своје обмањујуће напоре.
Чини се да севернокорејски ИТ радници одржавају добро организован систем за праћење уплата које примају. Процењује се да су њихови заједнички напори генерисали најмање 370.000 долара прихода.
