کره شمالی طرح هایی را برای کارگران جعلی فناوری اطلاعات برای باج گیری از کارفرمایان افزایش می دهد

کره شمالی طرح هایی را برای کارگران جعلی فناوری اطلاعات برای باج گیری از کارفرمایان افزایش می دهد

محققان Secureworks دریافتند بازیگران تهدید کره شمالی تاکتیک‌های جدیدی را برای تشدید حملات خودی جعلی علیه کارکنان فناوری اطلاعات، از جمله باج‌گیری از کارفرمایان سابق، اتخاذ کرده‌اند.

این شرکت امنیت سایبری گفت این پیشرفت که به گروه تهدید Nickel Tapestry نسبت داده می شود، نشان دهنده انحراف قابل توجهی از تاکتیک های قبلی است.

در چندین طرح جعلی قبلی کارگران فناوری اطلاعات در کره شمالی، عوامل تهدید انگیزه مالی خود را با حفظ شغل و دریافت حقوق نشان دادند.

با این حال، در یکی از موارد اخیر که توسط محققان ذکر شده است، یک پیمانکار تقریباً بلافاصله پس از شروع کار در اواسط سال 2024، اطلاعات اختصاصی را فاش کرد، قبل از اینکه تهدید کرد که داده ها را به صورت آنلاین در یک درخواست باج ارسال شده برای کارفرمایان سابق خود منتشر می کند.

راوی بیلینگ، مدیر اطلاعات تهدید در واحد مق، با تهدید Secureworks اظهار داشت: «هنگامی که قرارداد کار تکمیل شد، آنها به سرعت از این به ،وان وثیقه استفاده ،د تا در ازای عدم انتشار اطلاعات دزدیده شده، باج زیادی بخواهند.

او افزود: «این تغییر به طور چشمگیری نمایه ریسک مرتبط با استخدام سهوی کارکنان فناوری اطلاعات از کره شمالی را تغییر می دهد. در چارچوب دفاعیات یک شرکت.

اکنون بخو،د: هکرهای کره شمالی شرکت امنیت سایبری KnowBe4 را با استفاده از کارمند فناوری اطلاعات جعلی هدف قرار دادند.

تکامل تهدیدات برای کارکنان فناوری اطلاعات در کره شمالی

رویه اتباع کره شمالی با استفاده از هویت های سرقت شده یا جعلی برای استخدام در شرکت های غربی به بهانه های واهی چندین سال است که در ایالات متحده، بریت،ا و استرالیا مستند شده است.

این فعالیت در درجه اول برای ایجاد درآمد برای جمهوری دموکراتیک خلق کره و کمک به برنامه تسلیحاتی این رژیم است.

از لحاظ تاریخی، نیکل تاپستری بازیگر تهدید کننده کره شمالی در خط مقدم این طرح ها بوده است. Secureworks اخیراً متوجه تحولاتی در تاکتیک هایی شده است که معتقد است این بازیگر ممکن است استفاده کرده باشد.

یکی از مشاغل این گروه، اجتناب از لپ‌تاپ‌های مستعمل شرکتی با هدایت آنها به تسهیل‌کنندگان در مزارع لپ‌تاپ است. در برخی موارد، پیمانکاران برای استفاده از لپ‌تاپ شخصی به‌جای دستگاهی که توسط شرکت صادر شده است، درخواست مجوز می‌،د و ترجیح می‌دادند راه‌اندازی زیرساخت دسک‌تاپ مجازی (VDI) را نشان دهند.

اگر درخواست باج صادر می شد، مهاجم با استفاده از آدرس های IP در فضای آدرس Astrill VPN و آدرس های پرا،ی مس، برای پنهان ، آدرس IP منبع واقعی استفاده شده برای فعالیت م،ب، به داده های شرکت دسترسی پیدا می کرد.

مدت کوتاهی پس از اینکه سازمان به دلیل عملکرد ضعیف، استخدام پیمانکار را خاتمه داد، یک سری ایمیل از یک آدرس ایمیل خارجی Outlook برای شرکت ارسال شد. یکی از ایمیل‌ها شامل ضمیمه‌های آرشیو ZIP حاوی شواهدی از داده‌های دزدیده شده بود و دیگری برای جلوگیری از انتشار اسناد دزدیده شده، باج شش رقمی در ارزهای دیجیتال درخواست کرد.

عوامل تهدید نیز با استفاده از Chrome Remote Desktop و AnyDesk برای دسترسی از راه دور مشاهده شده اند.

کارکنان فناوری اطلاعات کره شمالی در طول تاریخ از فعال ، ویدیو در طول تماس اجتناب می‌کنند و گاهی اوقات ادعا می‌کنند که با وب‌کم‌های لپ‌تاپ‌های تولیدی این شرکت مشکل دارند. با این حال، به نظر می‌رسد که Nickel Tapestry از نرم‌افزار رایگان SplitCam استفاده می‌کند که به ،وان یک شبیه‌سازی ویدیویی مجازی تبلیغ می‌شود و آن را قادر می‌سازد تا تماس‌های شرکت را تسهیل کند.

همچنین مشاهده شده است که عوامل تهدید چندین بار در مدت کوتاهی حساب بانکی را برای دریافت چک به روز می کنند. این شامل استفاده از خدمات پرداخت دیجیتال برای دور زدن سیستم های بانکداری سنتی است.

نحوه شناسایی طرح های کارگری در کره شمالی

Secureworks گفت گسترش عملیات Nickel Tapestry برای شامل سرقت مالکیت م،وی با پتانسیل سود مالی بیشتر از طریق اخاذی، به طور قابل توجهی مشخصات ریسک سازمان هایی را که به طور ناخواسته یک کارگر فناوری اطلاعات کره شمالی را استخدام می کنند، تغییر داده است.

به شرکت هایی که کارمندان فناوری اطلاعات از راه دور استخدام می کنند، توصیه می شود که یک فرآیند مصاحبه کامل را برای شناسایی فعالیت های مشکوک انجام دهند. این شامل:

  • هویت نامزدها را با بررسی اسناد از نظر سازگاری، از جمله نام، ملیت، اطلاعات تماس و سابقه کاری تأیید کنید
  • مصاحبه های حضوری یا ویدیویی انجام دهید و فعالیت های مشکوک را در طول تماس زیر نظر بگیرید
  • مراقب درخواست‌های داوطلبان مبنی بر تغییر آدرس در طول فرآیند ورود و پرداخت مستقیم به خدمات انتقال پول باشید.
  • استفاده از ابزارهای دسترسی از راه دور غیرمجاز را محدود کنید و دسترسی به سیستم های غیر ضروری را محدود کنید.

تحقیقاتی که توسط واحد 42 شبکه پالو ،و در اکتبر 2024 منتشر شد، فعالیت جدید بازیگران تهدید کره شمالی را که به ،وان استخدام‌کننده‌ها برای نصب ب،زار بر روی دستگاه‌های جویندگان کار فناوری ظاهر می‌شوند، برجسته کرد.

دو بخش ب،زار مرتبط با این کمپین عبارتند از دانلودر BeaverTail و درپشتی InvisibleFerret.

منبع: https://www.infosecurity-magazine.com/news/north-korea-it-worker-extort/