Sapphire Sleet APT
Ang grupo ng pagbabanta na kaakibat ng North Korea na kinilala bilang ang Sapphire Sleet ay naiulat na umani ng mahigit $10 milyon sa cryptocurrency sa pamamagitan ng mga social engineering scheme na isinagawa sa loob ng anim na buwang takdang panahon. Isinasaad ng mga natuklasan sa pananaliksik na ang iba't ibang cluster ng banta na konektado sa North Korea ay lumilikha ng mga mapanlinlang na profile sa LinkedIn. Ang mga profile na ito, na idinisenyo upang gayahin ang parehong mga recruiter at naghahanap ng trabaho, ay naglalayong mapadali ang mga ipinagbabawal na aktibidad at makabuo ng suportang pinansyal para sa mabigat na sanction na rehimen.
Aktibo mula noong hindi bababa sa 2020, ang Sapphire Sleet ay nagbabahagi ng mga koneksyon sa iba pang mga entity sa pag-hack, gaya ng APT38 at BlueNoroff. Noong Nobyembre 2023, natuklasan ng mga mananaliksik na nag-set up ang grupo ng mga platform sa pagtatasa ng mga kasanayan sa paggaya sa imprastraktura, na ginagamit ang mga site na ito upang maisagawa ang mga taktika nitong social engineering.
Talaan ng mga Nilalaman
Mga Mapanlinlang na Taktika na Ginamit ng Sapphire Sleet
Sa nakalipas na taon, ang grupo ay pangunahing gumamit ng isang diskarte sa pagpapanggap bilang mga venture capitalist, na nagpapanggap na interesado sa negosyo ng isang target upang ayusin ang isang online na pulong. Kapag sinubukan ng mga target na sumali sa pulong, makakatagpo sila ng mga mensahe ng error na nagtuturo sa kanila na makipag-ugnayan sa administrator ng pulong o team ng suporta para sa tulong.
Kung sumunod ang biktima, magbibigay ang mga umaatake ng AppleScript (.scpt) file o Visual Basic Script (.vbs) file na iniayon sa operating system ng biktima sa ilalim ng pagkukunwari ng paglutas sa isyu. Sa likod ng mga eksena, ang mga script na ito ay idinisenyo upang mag-deploy ng malisyosong software sa macOS o Windows device ng biktima, na nagbibigay-daan sa mga umaatake na makakuha ng mga kredensyal at ma-access ang mga wallet ng cryptocurrency para sa kasunod na pagnanakaw.
Pagpapanggap bilang Lehitimong Entitiy para Lokohin ang mga Target
Ang Sapphire Sleet ay naobserbahang nagpapanggap bilang mga recruiter para sa mga kilalang institusyong pinansyal, gaya ng Goldman Sachs, sa LinkedIn. Kasama sa taktika na ito ang pakikipag-ugnayan sa mga potensyal na target at pag-imbita sa kanila na kumpletuhin ang isang pagtatasa ng mga kasanayan na naka-host sa isang website na kinokontrol ng mga aktor ng pagbabanta.
Ang mga biktima ay binibigyan ng sign-in account at password para ma-access ang mapanlinlang na site. Sa pag-log in at pag-download ng mga file na nauugnay sa dapat na pagtatasa, hindi nila sinasadyang nag-install ng malware sa kanilang mga device, na nagbibigay sa mga umaatake ng hindi awtorisadong pag-access sa kanilang mga system.
Bukod pa rito, itinampok ng mga cybersecurity analyst ang pag-deploy ng North Korea ng libu-libong IT worker sa ibang bansa bilang bahagi ng isang multifaceted na diskarte. Ang mga manggagawang ito ay nakakakuha ng kita para sa rehimen sa pamamagitan ng lehitimong trabaho, sinasamantala ang kanilang pag-access upang magnakaw ng intelektwal na ari-arian at makisali sa pagnanakaw ng data para sa mga hinihingi ng ransom.
Dahil sa mga paghihigpit sa loob ng North Korea, tulad ng kawalan ng kakayahang magbukas ng mga bank account o makakuha ng mga numero ng telepono, umaasa ang mga IT operative na ito sa mga tagapamagitan upang makakuha ng access sa mga platform kung saan maaari silang makakuha ng mga malalayong trabaho. Tumutulong ang mga facilitator na ito sa mga gawain tulad ng paggawa ng mga account sa mga freelance na site ng trabaho at pag-set up ng mga pekeng profile at portfolio sa mga platform gaya ng GitHub at LinkedIn upang makipag-ugnayan sa mga recruiter at mag-apply para sa mga pagkakataon sa trabaho.
Ang mga Cybercriminal ay Gumagamit ng AI-Technologies sa Kanilang mga Operasyon
Sa ilang mga kaso, ang grupo ay natagpuang gumagamit ng mga tool ng artificial intelligence (AI), gaya ng Faceswap, upang baguhin ang mga larawan at dokumentong nakuha mula sa mga biktima. Ang mga binagong larawang ito, na kadalasang inilalagay sa mga propesyonal na setting, ay ginagamit sa mga resume o profile—minsan sa ilalim ng maraming pagkakakilanlan—na isinumite para sa mga aplikasyon sa trabaho.
Higit pa sa pagmamanipula ng imahe para sa mga aplikasyon ng trabaho, ang mga manggagawang IT ng North Korea ay nag-e-explore din ng iba pang mga teknolohiya ng AI, kabilang ang software na nagpapalit ng boses, upang mapahusay ang kanilang mga mapanlinlang na pagsisikap.
Ang mga manggagawang IT ng North Korea ay lumilitaw na nagpapanatili ng isang maayos na sistema para sa pagsubaybay sa mga pagbabayad na kanilang natatanggap. Ang kanilang pinagsamang pagsisikap ay tinatantya na nakabuo ng hindi bababa sa $370,000 sa kita.
