Sapphire Sleet APT
Den Nordkorea-anslutna hotgruppen som identifierats som Sapphire Sleet har enligt uppgift skördat över 10 miljoner dollar i kryptovaluta genom sociala ingenjörskonst som genomförts under en sexmånaders tidsram. Forskningsresultat tyder på att olika hotkluster kopplade till Nordkorea har skapat bedrägliga LinkedIn-profiler. Dessa profiler, utformade för att efterlikna både rekryterare och arbetssökande, syftar till att underlätta olaglig verksamhet och generera ekonomiskt stöd till den hårt sanktionerade regimen.
Sapphire Sleet har varit aktiv sedan åtminstone 2020 och delar förbindelser med andra hackningsenheter, som APT38 och BlueNoroff. I november 2023 avslöjade forskare att gruppen hade skapat en infrastruktur som efterliknar kompetensbedömningsplattformar, som utnyttjar dessa webbplatser för att genomföra sin sociala ingenjörstaktik.
Innehållsförteckning
Bedräglig taktik som används av Sapphire Sleet
Under det senaste året har gruppen i första hand använt en strategi att imitera riskkapitalister, låtsas vara intresserad av ett måls verksamhet för att arrangera ett onlinemöte. När mål försöker gå med i mötet, stöter de på felmeddelanden som uppmanar dem att kontakta mötesadministratören eller supportteamet för hjälp.
Om offret följer detta tillhandahåller angriparna en AppleScript-fil (.scpt) eller en Visual Basic Script-fil (.vbs) som är skräddarsydd för offrets operativsystem under sken av att lösa problemet. Bakom kulisserna är dessa skript utformade för att distribuera skadlig programvara på offrets macOS- eller Windows-enhet, vilket gör det möjligt för angriparna att samla in autentiseringsuppgifter och komma åt kryptovaluta-plånböcker för efterföljande stöld.
Utger sig att vara en legitim enhet för att lura mål
The Sapphire Sleet har observerats efterlikna rekryterare för framstående finansiella institutioner, som Goldman Sachs, på LinkedIn. Denna taktik innebär att man kontaktar potentiella mål och bjuder in dem att genomföra en kompetensbedömning på en webbplats som kontrolleras av hotaktörerna.
Offren förses med ett inloggningskonto och lösenord för att komma åt den bedrägliga webbplatsen. När de loggar in och laddar ner filer relaterade till den förmodade bedömningen, installerar de oavsiktligt skadlig programvara på sina enheter, vilket ger angripare obehörig åtkomst till sina system.
Dessutom har cybersäkerhetsanalytiker lyft fram Nordkoreas utplacering av tusentals IT-arbetare utomlands som en del av en mångfacetterad strategi. Dessa arbetare genererar intäkter till regimen genom legitim sysselsättning, utnyttjar sin tillgång för att stjäla immateriell egendom och ägnar sig åt datastöld mot krav på lösen.
På grund av restriktioner inom Nordkorea, såsom oförmågan att öppna bankkonton eller skaffa telefonnummer, är dessa IT-operatörer beroende av mellanhänder för att få tillgång till plattformar där de kan säkra fjärrjobb. Dessa facilitatorer hjälper till med uppgifter som att skapa konton på frilansande jobbsajter och att skapa falska profiler och portföljer på plattformar som GitHub och LinkedIn för att interagera med rekryterare och ansöka om anställningsmöjligheter.
Cyberkriminella anammar AI-teknik i sin verksamhet
I vissa fall har gruppen befunnits utnyttja artificiell intelligens (AI)-verktyg, som Faceswap, för att ändra foton och dokument som erhållits från offer. Dessa modifierade bilder, ofta placerade i professionella miljöer, används sedan på CV eller profiler – ibland under flera identiteter – som skickas in för jobbansökningar.
Utöver bildmanipulation för jobbansökningar, utforskar nordkoreanska IT-arbetare också andra AI-tekniker, inklusive röstförändrande programvara, för att förbättra sina vilseledande ansträngningar.
De nordkoreanska IT-arbetarna verkar ha ett välorganiserat system för att spåra betalningarna de tar emot. Deras samlade ansträngningar beräknas ha genererat minst 370 000 USD i intäkter.
