Sapphire Sleet APT

据报道，与朝鲜有关的威胁组织 Sapphire Sleet 通过在六个月内实施的社会工程计划，获取了超过 1000 万美元的加密货币。研究结果表明，与朝鲜有关的各种威胁团体一直在创建虚假的 LinkedIn 个人资料。这些个人资料旨在模仿招聘人员和求职者，旨在促进非法活动并为受到严厉制裁的政权提供经济支持。

Sapphire Sleet 至少从 2020 年开始活跃，与其他黑客组织（例如APT38和 BlueNoroff）有联系。2023 年 11 月，研究人员发现该组织建立了模仿技能评估平台的基础设施，并利用这些网站实施其社会工程策略。

蓝宝石雨夹雪的欺骗手段

过去一年，该团伙主要采用冒充风险投资家的策略，假装对目标公司的业务感兴趣，以安排在线会议。当目标公司试图加入会议时，他们会遇到错误消息，指示他们联系会议管理员或支持团队寻求帮助。

如果受害者同意，攻击者就会提供一个 AppleScript (.scpt) 文件或一个针对受害者操作系统定制的 Visual Basic Script (.vbs) 文件，以解决问题为幌子。在幕后，这些脚本旨在在受害者的 macOS 或 Windows 设备上部署恶意软件，使攻击者能够获取凭证并访问加密货币钱包，随后进行盗窃。

冒充合法实体欺骗目标

据观察，Sapphire Sleet 在 LinkedIn 上冒充高盛等知名金融机构的招聘人员。这种策略包括联系潜在目标并邀请他们完成由威胁行为者控制的网站上的技能评估。

受害者会获得登录账户和密码来访问该欺诈网站。登录并下载与所谓评估相关的文件后，他们会无意中在自己的设备上安装恶意软件，从而让攻击者未经授权访问他们的系统。

此外，网络安全分析师强调，朝鲜在海外部署数千名 IT 员工是其多方面战略的一部分。这些员工通过合法就业为朝鲜政权创造收入，利用其权限窃取知识产权，并窃取数据以索要赎金。

由于朝鲜境内的限制，例如无法开设银行账户或获取电话号码，这些 IT 人员依靠中介进入平台，从而获得远程工作。这些中介协助完成一些任务，例如在自由职业网站上创建账户，在 GitHub 和 LinkedIn 等平台上设置虚假的个人资料和作品集，以便与招聘人员互动并申请就业机会。

网络犯罪分子正在其行动中采用人工智能技术

在某些情况下，该组织被发现利用 Faceswap 等人工智能 (AI) 工具来修改从受害者那里获得的照片和文件。这些修改后的图像通常放置在专业环境中，然后用于提交求职简历或个人资料（有时以多个身份提交）。

除了用于求职的图像处理之外，朝鲜 IT 工作者还在探索其他人工智能技术，包括语音转换软件，以增强他们的欺骗手段。

朝鲜 IT 工作者似乎维护着一套井然有序的付款追踪系统。据估计，他们的共同努力至少创造了 37 万美元的收入。