Sapphire Sleet APT
Sapphire Sleet olarak tanımlanan Kuzey Kore bağlantılı tehdit grubunun, altı aylık bir zaman diliminde yürütülen sosyal mühendislik planları aracılığıyla 10 milyon dolardan fazla kripto para topladığı bildirildi. Araştırma bulguları, Kuzey Kore ile bağlantılı çeşitli tehdit kümelerinin sahte LinkedIn profilleri oluşturduğunu gösteriyor. Hem işe alımcıları hem de iş arayanları taklit etmek için tasarlanan bu profiller, yasadışı faaliyetleri kolaylaştırmayı ve ağır yaptırımlara tabi rejim için finansal destek sağlamayı amaçlıyor.
En az 2020'den beri aktif olan Sapphire Sleet, APT38 ve BlueNoroff gibi diğer hacker oluşumlarıyla bağlantılar paylaşıyor. Kasım 2023'te araştırmacılar, grubun beceri değerlendirme platformlarını taklit eden bir altyapı kurduğunu ve sosyal mühendislik taktiklerini uygulamak için bu siteleri kullandığını keşfetti.
İçindekiler
Safir Yağmuru Tarafından Kullanılan Aldatıcı Taktikler
Geçtiğimiz yıl boyunca, grup öncelikle risk sermayedarlarını taklit etme, bir hedefin işine ilgi gösterme ve çevrimiçi bir toplantı ayarlama stratejisi uyguladı. Hedefler toplantıya katılmaya çalıştıklarında, yardım için toplantı yöneticisi veya destek ekibiyle iletişime geçmelerini söyleyen hata mesajlarıyla karşılaşıyorlar.
Mağdur uyarsa, saldırganlar sorunu çözme bahanesiyle mağdurun işletim sistemine göre uyarlanmış bir AppleScript (.scpt) dosyası veya bir Visual Basic Script (.vbs) dosyası sağlar. Sahne arkasında, bu betikler mağdurun macOS veya Windows cihazına kötü amaçlı yazılım dağıtmak için tasarlanmıştır ve saldırganların kimlik bilgilerini toplamasını ve sonraki hırsızlık için kripto para cüzdanlarına erişmesini sağlar.
Hedefleri Aldatmak İçin Meşru Bir Varlığı Taklit Etmek
Sapphire Sleet'in LinkedIn'de Goldman Sachs gibi önemli finans kuruluşlarının işe alımcılarını taklit ettiği gözlemlendi. Bu taktik, potansiyel hedeflerle iletişime geçmeyi ve onları tehdit aktörlerinin kontrol ettiği bir web sitesinde barındırılan bir beceri değerlendirmesini tamamlamaya davet etmeyi içerir.
Mağdurlara sahte siteye erişim için bir oturum açma hesabı ve parola sağlanır. Oturum açıp sözde değerlendirmeyle ilgili dosyaları indirdikten sonra, cihazlarına istemeden kötü amaçlı yazılım yüklerler ve saldırganlara sistemlerine yetkisiz erişim hakkı verirler.
Ek olarak, siber güvenlik analistleri Kuzey Kore'nin binlerce BT çalışanını çok yönlü bir stratejinin parçası olarak yurtdışına konuşlandırmasını vurguladı. Bu çalışanlar meşru istihdam yoluyla rejim için gelir elde ediyor, fikri mülkiyeti çalmak için erişimlerini kullanıyor ve fidye talepleri için veri hırsızlığı yapıyor.
Kuzey Kore'deki banka hesabı açamama veya telefon numarası alamama gibi kısıtlamalar nedeniyle, bu BT operatörleri uzaktan işleri güvence altına alabilecekleri platformlara erişmek için aracılara güvenmektedir. Bu kolaylaştırıcılar, serbest iş sitelerinde hesap oluşturma ve işe alım uzmanlarıyla etkileşim kurmak ve iş fırsatlarına başvurmak için GitHub ve LinkedIn gibi platformlarda sahte profiller ve portföyler oluşturma gibi görevlerde yardımcı olmaktadır.
Siber Suçlular Operasyonlarında Yapay Zeka Teknolojilerini Benimsiyor
Bazı durumlarda, grubun Faceswap gibi yapay zeka (AI) araçlarını kullanarak kurbanlardan elde edilen fotoğrafları ve belgeleri değiştirdiği görüldü. Genellikle profesyonel ortamlarda yer alan bu değiştirilmiş görüntüler daha sonra iş başvuruları için gönderilen özgeçmişlerde veya profillerde (bazen birden fazla kimlik altında) kullanılıyor.
Kuzey Koreli BT çalışanları, iş başvuruları için görüntü manipülasyonunun ötesinde, aldatıcı çabalarını artırmak için ses değiştirme yazılımları da dahil olmak üzere diğer yapay zeka teknolojilerini de araştırıyor.
Kuzey Koreli BT çalışanları aldıkları ödemeleri takip etmek için iyi organize edilmiş bir sistem sürdürüyor gibi görünüyor. Birleştirilmiş çabalarının en az 370.000 $ gelir elde ettiği tahmin ediliyor.
