Severnokorejski hakeri na LinkedInu ukrali milione dolara

Društvene mreže, 25.11.2024, 10:00 AM

Za pola godine, grupa povezana sa Severnom Korejom poznata pod imenom Sapphire Sleet ukrala je kriptovalute u vrednosti od više od 10 miliona dolara koristeći taktike socijalnog inženjeringa, objavio je Microsoft.

Microsoft je rekao da je primećeno da više grupa koje su povezane sa Severnom Korejom prave lažne profile na LinkedInu, predstavljajući se ili kao posrednici u zapošljavanju ili kao ljudi koji traže posao, i da je cilj ovih grupa i njihovih aktivnosti na LinkedInu da zarade za svoju zemlju pogođenu sankcijama.

Grupa Sapphire Sleet je aktivna bar od 2020. godine. U novembru 2023., Microsoft je otkrio da Sapphire Sleet ima sajt koji liči na portale za procenu veština, koji se koriste za kampanje ove grupe.

Jedna od glavnih metoda koju Sapphire Sleet primenjuje više od godinu dana je da se predstavlja kao investitor, koji tvrdi da ima interes u kompaniji ciljnog korisnika kako bi se dogovorio onlajn sastanak. Onima koji nasednu na ovo i pokušaju da se pridruže sastanku prikazuju se poruke o grešci koje ih pozivaju da kontaktiraju administratora sobe ili tim za podršku za pomoć.

Ako žrtva dođe do napadača, šalje joj se ili AppleScript (.scpt) fajl ili Visual Basic Script (.vbs) fajl u zavisnosti od operativnog sistema koji se koristi za rešavanje navodnog problema sa vezom. Ono čemu služi skripta je preuzimanje malvera na kompromitovani Mac ili Windows računar, koji na kraju omogućava napadačima da dobiju podatke za prijavljivanje i novčanike kriptovaluta za kasniju krađu.

Sapphire Sleet se takođe predstavlja kao agent za kompanije kao što je Goldman Sachs na LinkedInu da bi došao do potencijalnih ciljeva i zatražio od njih da obave procenu veština na veb sajtu pod njihovom kontrolom.

„Napadač šalje ciljnom korisniku nalog za prijavu i lozinku“, rekao je Microsoft. „Prilikom prijavljivanja na veb sajt i preuzimanja koda povezanog sa procenom veština, ciljni korisnik preuzima malver na svoj uređaj, omogućavajući napadačima da dobiju pristup sistemu.“

Microsoft je slanje hiljada IT radnika od strane Severne Koreje u inostranstvo nazvao trostrukom pretnjom koja zarađuje novac režimu „legitimnim“ radom, omogućava im da zloupotrebe pristup da bi se dokopali intelektualne svojine i olakšava krađu podataka u zamenu za otkupninu.

„Pošto je osobi u Severnoj Koreji teško da se prijavi za bankovni račun ili broj telefona, IT radnici moraju da koriste pomagače kako bi im pomogli da steknu pristup platformama na kojima mogu da se prijave za poslove na daljinu“, navodi se u izveštaju kompanije. „Njih koriste IT radnici za zadatke kao što je kreiranje naloga na frilens platformi.“

Ovo uključuje kreiranje lažnih profila na platformama kao što su GitHub i LinkedIn za komunikaciju sa agentima za zapošljavanje i prijavljivanje za posao.

U nekim slučajevima, otkrilo se da su koristili AI alate kao što je Faceswap za modifikovanje fotografija i dokumenata ukradenih od žrtava. Ove slike se zatim koriste u biografijama ili na profilima, ponekad i za nekoliko osoba koje se prijavljuju za posao.

„Pored korišćenja veštačke inteligencije za pomoć u kreiranju slika koje se koriste u aplikacijama za posao, severnokorejski IT radnici eksperimentišu sa drugim AI tehnologijama kao što je softver za promenu glasa“, rekao je Microsoft.

Foto: Tobias Dziuba | Pexels