Sapphire Sleet APT
Nhóm đe dọa có liên hệ với Triều Tiên được xác định là Sapphire Sleet được cho là đã thu được hơn 10 triệu đô la tiền điện tử thông qua các chương trình kỹ thuật xã hội được thực hiện trong khung thời gian sáu tháng. Các phát hiện nghiên cứu chỉ ra rằng nhiều nhóm đe dọa có liên quan đến Triều Tiên đã tạo ra các hồ sơ LinkedIn gian lận. Các hồ sơ này, được thiết kế để bắt chước cả người tuyển dụng và người tìm việc, nhằm mục đích tạo điều kiện cho các hoạt động bất hợp pháp và tạo ra sự hỗ trợ tài chính cho chế độ bị trừng phạt nặng nề này.
Hoạt động ít nhất từ năm 2020, Sapphire Sleet chia sẻ kết nối với các thực thể tin tặc khác, chẳng hạn như APT38 và BlueNoroff. Vào tháng 11 năm 2023, các nhà nghiên cứu phát hiện ra rằng nhóm này đã thiết lập cơ sở hạ tầng mô phỏng các nền tảng đánh giá kỹ năng, tận dụng các trang web này để thực hiện các chiến thuật kỹ thuật xã hội của mình.
Mục lục
Những Chiến Thuật Lừa Đảo Được Sử Dụng Bởi Sapphire Sleet
Trong năm qua, nhóm này chủ yếu sử dụng chiến lược mạo danh các nhà đầu tư mạo hiểm, giả vờ quan tâm đến doanh nghiệp của mục tiêu để sắp xếp một cuộc họp trực tuyến. Khi mục tiêu cố gắng tham gia cuộc họp, họ gặp phải thông báo lỗi hướng dẫn họ liên hệ với người quản lý cuộc họp hoặc nhóm hỗ trợ để được trợ giúp.
Nếu nạn nhân tuân thủ, kẻ tấn công sẽ cung cấp tệp AppleScript (.scpt) hoặc tệp Visual Basic Script (.vbs) được thiết kế riêng cho hệ điều hành của nạn nhân dưới chiêu bài giải quyết sự cố. Đằng sau hậu trường, các tập lệnh này được thiết kế để triển khai phần mềm độc hại trên thiết bị macOS hoặc Windows của nạn nhân, cho phép kẻ tấn công thu thập thông tin đăng nhập và truy cập ví tiền điện tử để đánh cắp sau đó.
Mạo danh thực thể hợp pháp để lừa mục tiêu
Sapphire Sleet đã được phát hiện đóng giả là những người tuyển dụng cho các tổ chức tài chính lớn, chẳng hạn như Goldman Sachs, trên LinkedIn. Chiến thuật này bao gồm liên hệ với các mục tiêu tiềm năng và mời họ hoàn thành đánh giá kỹ năng được lưu trữ trên một trang web do các tác nhân đe dọa kiểm soát.
Nạn nhân được cung cấp tài khoản đăng nhập và mật khẩu để truy cập trang web lừa đảo. Khi đăng nhập và tải xuống các tệp liên quan đến đánh giá được cho là, họ vô tình cài đặt phần mềm độc hại vào thiết bị của mình, cấp cho kẻ tấn công quyền truy cập trái phép vào hệ thống của họ.
Ngoài ra, các nhà phân tích an ninh mạng đã nhấn mạnh việc Triều Tiên triển khai hàng nghìn nhân viên CNTT ra nước ngoài như một phần của chiến lược đa diện. Những nhân viên này tạo ra doanh thu cho chế độ thông qua việc làm hợp pháp, khai thác quyền truy cập của họ để đánh cắp tài sản trí tuệ và tham gia vào hành vi trộm cắp dữ liệu để đòi tiền chuộc.
Do những hạn chế trong phạm vi Bắc Triều Tiên, chẳng hạn như không thể mở tài khoản ngân hàng hoặc xin số điện thoại, những nhân viên CNTT này dựa vào trung gian để tiếp cận các nền tảng nơi họ có thể đảm bảo công việc từ xa. Những người hỗ trợ này hỗ trợ các nhiệm vụ như tạo tài khoản trên các trang web việc làm tự do và thiết lập hồ sơ và danh mục đầu tư giả trên các nền tảng như GitHub và LinkedIn để tương tác với các nhà tuyển dụng và ứng tuyển vào các cơ hội việc làm.
Tội phạm mạng đang áp dụng công nghệ AI vào hoạt động của chúng
Trong một số trường hợp, nhóm này đã bị phát hiện sử dụng các công cụ trí tuệ nhân tạo (AI), chẳng hạn như Faceswap, để thay đổi ảnh và tài liệu thu được từ nạn nhân. Những hình ảnh đã chỉnh sửa này, thường được đặt trong bối cảnh chuyên nghiệp, sau đó được sử dụng trên sơ yếu lý lịch hoặc hồ sơ - đôi khi dưới nhiều danh tính - được nộp để xin việc.
Ngoài việc chỉnh sửa hình ảnh để xin việc, nhân viên CNTT Triều Tiên còn khám phá các công nghệ AI khác, bao gồm phần mềm thay đổi giọng nói, để tăng cường khả năng lừa đảo.
Các nhân viên CNTT Bắc Triều Tiên dường như duy trì một hệ thống được tổ chức tốt để theo dõi các khoản thanh toán họ nhận được. Những nỗ lực kết hợp của họ ước tính đã tạo ra ít nhất 370.000 đô la doanh thu.
