Sapphire Sleet APT
Повідомляється, що афілійована з Північною Кореєю група загроз, названа Sapphire Sleet, зібрала понад 10 мільйонів доларів у криптовалюті за допомогою схем соціальної інженерії, які проводилися протягом шести місяців. Результати досліджень показують, що різні кластери загроз, пов’язані з Північною Кореєю, створюють шахрайські профілі LinkedIn. Ці профілі, створені для імітації як вербувальників, так і шукачів роботи, спрямовані на сприяння незаконній діяльності та отримання фінансової підтримки для суворо санкційного режиму.
Активний принаймні з 2020 року, Sapphire Sleet ділиться зв’язками з іншими хакерськими організаціями, такими як APT38 і BlueNoroff. У листопаді 2023 року дослідники виявили, що група створила інфраструктуру, що імітує платформи оцінки навичок, використовуючи ці сайти для реалізації своєї тактики соціальної інженерії.
Зміст
Оманлива тактика, яку використовує Sapphire Sleet
Протягом останнього року група в основному використовувала стратегію видавання себе за венчурних капіталістів, вдаючи зацікавленість у бізнесі об’єкта для організації онлайн-зустрічі. Коли цільові особи намагаються приєднатися до наради, вони стикаються з повідомленнями про помилки з вказівками зв’язатися з адміністратором наради або командою підтримки по допомогу.
Якщо жертва погоджується, зловмисники надають файл AppleScript (.scpt) або файл Visual Basic Script (.vbs), адаптований до операційної системи жертви під виглядом вирішення проблеми. За лаштунками ці сценарії розроблені для розгортання шкідливого програмного забезпечення на пристрої macOS або Windows жертви, дозволяючи зловмисникам отримати облікові дані та отримати доступ до гаманців криптовалюти для подальшої крадіжки.
Видача себе за законну юридичну особу, щоб обдурити об’єкти
Було помічено, що Сапфір Сліт видає себе за рекрутерів для відомих фінансових установ, таких як Goldman Sachs, на LinkedIn. Ця тактика передбачає зв’язок із потенційними цілями та запрошення їх пройти оцінку навичок, розміщену на веб-сайті, який контролюється загрозливими суб’єктами.
Жертвам надається обліковий запис і пароль для доступу до шахрайського сайту. Увійшовши в систему та завантаживши файли, пов’язані з передбачуваною оцінкою, вони випадково встановлюють шкідливе програмне забезпечення на свої пристрої, надаючи зловмисникам несанкціонований доступ до їхніх систем.
Крім того, аналітики з кібербезпеки підкреслюють розміщення Північною Кореєю тисяч ІТ-працівників за кордоном у рамках багатогранної стратегії. Ці працівники отримують дохід для режиму через законне працевлаштування, використовують свій доступ для крадіжки інтелектуальної власності та беруть участь у крадіжці даних за вимоги викупу.
Через обмеження в Північній Кореї, такі як неможливість відкрити банківські рахунки або отримати номери телефонів, ці ІТ-оператори покладаються на посередників, щоб отримати доступ до платформ, де вони можуть забезпечити віддалену роботу. Ці фасилітатори допомагають із такими завданнями, як створення облікових записів на сайтах із вакансіями для фрілансерів і створення фальшивих профілів і портфоліо на таких платформах, як GitHub і LinkedIn, щоб взаємодіяти з рекрутерами та подавати заявки на працевлаштування.
Кіберзлочинці використовують технології ШІ у своїй діяльності
У деяких випадках було виявлено, що група використовує інструменти штучного інтелекту (AI), такі як Faceswap, для зміни фотографій і документів, отриманих від жертв. Ці змінені зображення, які часто розміщуються в професійних налаштуваннях, потім використовуються в резюме або профілях (іноді під кількома іменами), які подаються для заявок на роботу.
Окрім маніпулювання зображеннями для заявок на роботу, північнокорейські ІТ-працівники також досліджують інші технології штучного інтелекту, включаючи програмне забезпечення для зміни голосу, щоб посилити свої обманні зусилля.
ІТ-працівники Північної Кореї, здається, підтримують добре організовану систему для відстеження платежів, які вони отримують. За оцінками, їхні спільні зусилля принесли щонайменше 370 000 доларів США доходу.
