Sapphire Sleet APT

據報道，與北韓有聯繫的威脅組織「Sapphire Sleet」在六個月的時間內透過社會工程計畫收穫了超過 1000 萬美元的加密貨幣。研究結果表明，與北韓有關的各種威脅集群一直在創建欺詐性的 LinkedIn 個人資料。這些資料旨在模仿招募人員和求職者，旨在促進非法活動並為受到嚴厲制裁的政權提供財政支持。

Sapphire Sleet 至少自 2020 年起就開始活躍，與APT38和 BlueNoroff 等其他駭客實體共享連接。 2023 年 11 月，研究人員發現該組織建立了模仿技能評估平台的基礎設施，利用這些網站執行其社會工程策略。

藍寶石雨夾雪所採用的欺騙手段

在過去的一年裡，該組織主要採用了冒充創投家的策略，假裝對目標公司的業務感興趣，以安排線上會議。當目標嘗試加入會議時，他們會遇到錯誤訊息，指示他們聯絡會議管理員或支援團隊尋求協助。

如果受害者遵守，攻擊者就會以解決問題為幌子提供針對受害者作業系統客製化的 AppleScript (.scpt) 檔案或 Visual Basic Science (.vbs) 檔案。在幕後，這些腳本旨在在受害者的 macOS 或 Windows 裝置上部署惡意軟體，使攻擊者能夠獲取憑證並存取加密貨幣錢包以進行後續盜竊。

冒充合法實體欺騙目標

據觀察，Sapphire Sleet 在 LinkedIn 上冒充高盛等知名金融機構的招募人員。這種策略涉及聯繫潛在目標並邀請他們完成由威脅行為者控制的網站上託管的技能評估。

受害者獲得登入帳戶和密碼來存取詐騙網站。在登入並下載與所謂評估相關的檔案後，他們會無意中在其裝置上安裝惡意軟體，從而使攻擊者能夠未經授權存取其係統。

此外，網路安全分析師強調，北韓在海外部署了數千名 IT 員工，這是其多方面策略的一部分。這些工人透過合法就業為政權創造收入，利用他們的機會竊取智慧財產權並竊取資料以索取贖金。

由於北韓境內的限制，例如無法開設銀行帳戶或取得電話號碼，這些 IT 操作人員依靠中介機構來存取可以確保遠距工作的平台。這些協調員協助完成一些任務，例如在自由工作網站上建立帳戶，以及在 GitHub 和 LinkedIn 等平台上設定虛假的個人資料和作品集，以便與招聘人員互動併申請就業機會。

網路犯罪分子在其行動中採用人工智慧技術

在某些情況下，該組織被發現利用 Faceswap 等人工智慧 (AI) 工具來更改從受害者那裡獲得的照片和文件。這些修改後的圖像通常放置在專業環境中，然後用於提交工作申請的簡歷或個人資料（有時以多個身份）。

除了用於工作申請的圖像處理之外，北韓 IT 工人還在探索其他人工智慧技術，包括變聲軟體，以增強他們的欺騙能力。

北韓 IT 工人似乎維護著一個組織良好的系統來追蹤他們收到的付款。據估計，他們的共同努力至少創造了 37 萬美元的收入。