Sapphire Sleet APT
กลุ่มภัยคุกคามที่เกี่ยวข้องกับเกาหลีเหนือซึ่งระบุว่าคือ Sapphire Sleet ได้รายงานว่าได้เก็บเกี่ยวสกุลเงินดิจิทัลมูลค่ากว่า 10 ล้านดอลลาร์ผ่านกลวิธีทางวิศวกรรมสังคมที่ดำเนินการในช่วงระยะเวลา 6 เดือน ผลการวิจัยระบุว่ากลุ่มภัยคุกคามต่างๆ ที่เชื่อมโยงกับเกาหลีเหนือได้สร้างโปรไฟล์ LinkedIn ปลอมขึ้นมา โปรไฟล์เหล่านี้ได้รับการออกแบบให้เลียนแบบทั้งผู้รับสมัครและผู้หางาน โดยมีจุดมุ่งหมายเพื่ออำนวยความสะดวกให้กับกิจกรรมที่ผิดกฎหมายและหาเงินสนับสนุนให้กับระบอบการปกครองที่ถูกคว่ำบาตรอย่างหนัก
Sapphire Sleet ดำเนินการมาตั้งแต่ปี 2020 เป็นอย่างน้อย และมีการเชื่อมต่อกับแฮ็กเกอร์รายอื่นๆ เช่น APT38 และ BlueNoroff ในเดือนพฤศจิกายน 2023 นักวิจัยได้ค้นพบว่ากลุ่มดังกล่าวได้จัดตั้งโครงสร้างพื้นฐานที่เลียนแบบแพลตฟอร์มการประเมินทักษะ โดยใช้ประโยชน์จากไซต์เหล่านี้ในการดำเนินการตามกลวิธีทางวิศวกรรมสังคม
สารบัญ
กลวิธีหลอกลวงที่ใช้โดย Sapphire Sleet
ในช่วงปีที่ผ่านมา กลุ่มนี้ใช้กลยุทธ์การแอบอ้างตัวเป็นนักลงทุนเสี่ยงภัยเป็นหลัก โดยแสร้งทำเป็นสนใจในธุรกิจของเป้าหมายเพื่อจัดการประชุมออนไลน์ เมื่อเป้าหมายพยายามเข้าร่วมการประชุม พวกเขาพบข้อความแสดงข้อผิดพลาดที่แนะนำให้ติดต่อผู้ดูแลระบบการประชุมหรือทีมสนับสนุนเพื่อขอความช่วยเหลือ
หากเหยื่อปฏิบัติตาม ผู้โจมตีจะให้ไฟล์ AppleScript (.scpt) หรือไฟล์ Visual Basic Script (.vbs) ที่ปรับแต่งให้เหมาะกับระบบปฏิบัติการของเหยื่อโดยอ้างว่าจะแก้ไขปัญหาดังกล่าว เบื้องหลัง สคริปต์เหล่านี้ได้รับการออกแบบมาเพื่อติดตั้งซอฟต์แวร์ที่เป็นอันตรายบนอุปกรณ์ macOS หรือ Windows ของเหยื่อ ทำให้ผู้โจมตีสามารถรวบรวมข้อมูลประจำตัวและเข้าถึงกระเป๋าเงินสกุลเงินดิจิทัลเพื่อขโมยข้อมูลในภายหลังได้
การแอบอ้างเป็นนิติบุคคลเพื่อหลอกเป้าหมาย
พบว่า Sapphire Sleet แอบอ้างตัวเป็นผู้รับสมัครพนักงานให้กับสถาบันการเงินชั้นนำ เช่น Goldman Sachs บน LinkedIn กลวิธีนี้เกี่ยวข้องกับการติดต่อเป้าหมายที่มีแนวโน้มเป็นไปได้และเชิญชวนให้พวกเขาทำการประเมินทักษะที่โฮสต์บนเว็บไซต์ที่ควบคุมโดยผู้ก่อภัยคุกคาม
เหยื่อจะได้รับบัญชีลงชื่อเข้าใช้และรหัสผ่านเพื่อเข้าถึงเว็บไซต์หลอกลวง เมื่อเข้าสู่ระบบและดาวน์โหลดไฟล์ที่เกี่ยวข้องกับการประเมินที่คาดว่าจะเกิดขึ้น เหยื่อจะติดตั้งมัลแวร์บนอุปกรณ์โดยไม่ได้ตั้งใจ ทำให้ผู้โจมตีเข้าถึงระบบโดยไม่ได้รับอนุญาต
นอกจากนี้ นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ยังได้เน้นย้ำถึงการส่งพนักงานไอทีจำนวนหลายพันคนไปต่างประเทศของเกาหลีเหนือ ซึ่งเป็นส่วนหนึ่งของกลยุทธ์หลายแง่มุม พนักงานเหล่านี้สร้างรายได้ให้กับรัฐบาลผ่านการจ้างงานที่ถูกต้องตามกฎหมาย ใช้ประโยชน์จากการเข้าถึงของพวกเขาเพื่อขโมยทรัพย์สินทางปัญญา และขโมยข้อมูลเพื่อเรียกค่าไถ่
เนื่องด้วยข้อจำกัดภายในเกาหลีเหนือ เช่น ไม่สามารถเปิดบัญชีธนาคารหรือขอหมายเลขโทรศัพท์ได้ เจ้าหน้าที่ไอทีเหล่านี้จึงต้องพึ่งคนกลางเพื่อเข้าถึงแพลตฟอร์มที่พวกเขาสามารถหางานทางไกลได้ ผู้ช่วยเหล่านี้จะช่วยเหลือในงานต่างๆ เช่น การสร้างบัญชีบนเว็บไซต์หางานอิสระและการตั้งค่าโปรไฟล์และพอร์ตโฟลิโอปลอมบนแพลตฟอร์ม เช่น GitHub และ LinkedIn เพื่อโต้ตอบกับผู้จัดหางานและสมัครงาน
อาชญากรไซเบอร์กำลังนำเทคโนโลยี AI มาใช้ในการทำงาน
ในบางกรณี กลุ่มดังกล่าวถูกพบว่าใช้เครื่องมือปัญญาประดิษฐ์ (AI) เช่น Faceswap เพื่อแก้ไขรูปถ่ายและเอกสารที่ได้รับจากเหยื่อ โดยรูปภาพที่แก้ไขเหล่านี้ มักจะถูกนำไปวางไว้ในสถานที่ทำงาน จากนั้นจึงถูกนำไปใช้ในประวัติย่อหรือโปรไฟล์ ซึ่งบางครั้งอาจมีหลายตัวตน เพื่อใช้ในการสมัครงาน
นอกเหนือจากการปรับแต่งรูปภาพสำหรับการสมัครงานแล้ว พนักงานไอทีของเกาหลีเหนือยังสำรวจเทคโนโลยี AI อื่น ๆ อีกด้วย รวมถึงซอฟต์แวร์เปลี่ยนเสียง เพื่อเพิ่มประสิทธิภาพในการหลอกลวงของพวกเขา
พนักงานไอทีของเกาหลีเหนือดูเหมือนว่าจะมีระบบการติดตามการชำระเงินที่ได้รับอย่างเป็นระบบ ความพยายามร่วมกันของพวกเขาสามารถสร้างรายได้อย่างน้อย 370,000 ดอลลาร์
