محققان Secureworks دریافتند بازیگران تهدید کره شمالی تاکتیکهای جدیدی را برای تشدید حملات خودی جعلی علیه کارکنان فناوری اطلاعات، از جمله باجگیری از کارفرمایان سابق، اتخاذ کردهاند.
این شرکت امنیت سایبری گفت این پیشرفت که به گروه تهدید Nickel Tapestry نسبت داده می شود، نشان دهنده انحراف قابل توجهی از تاکتیک های قبلی است.
در چندین طرح جعلی قبلی کارگران فناوری اطلاعات در کره شمالی، عوامل تهدید انگیزه مالی خود را با حفظ شغل و دریافت حقوق نشان دادند.
با این حال، در یکی از موارد اخیر که توسط محققان ذکر شده است، یک پیمانکار تقریباً بلافاصله پس از شروع کار در اواسط سال 2024، اطلاعات اختصاصی را فاش کرد، قبل از اینکه تهدید کرد که داده ها را به صورت آنلاین در یک درخواست باج ارسال شده برای کارفرمایان سابق خود منتشر می کند.
راوی بیلینگ، مدیر اطلاعات تهدید در واحد مق، با تهدید Secureworks اظهار داشت: «هنگامی که قرارداد کار تکمیل شد، آنها به سرعت از این به ،وان وثیقه استفاده ،د تا در ازای عدم انتشار اطلاعات دزدیده شده، باج زیادی بخواهند.
او افزود: «این تغییر به طور چشمگیری نمایه ریسک مرتبط با استخدام سهوی کارکنان فناوری اطلاعات از کره شمالی را تغییر می دهد. در چارچوب دفاعیات یک شرکت.
اکنون بخو،د: هکرهای کره شمالی شرکت امنیت سایبری KnowBe4 را با استفاده از کارمند فناوری اطلاعات جعلی هدف قرار دادند.
تکامل تهدیدات برای کارکنان فناوری اطلاعات در کره شمالی
رویه اتباع کره شمالی با استفاده از هویت های سرقت شده یا جعلی برای استخدام در شرکت های غربی به بهانه های واهی چندین سال است که در ایالات متحده، بریت،ا و استرالیا مستند شده است.
این فعالیت در درجه اول برای ایجاد درآمد برای جمهوری دموکراتیک خلق کره و کمک به برنامه تسلیحاتی این رژیم است.
از لحاظ تاریخی، نیکل تاپستری بازیگر تهدید کننده کره شمالی در خط مقدم این طرح ها بوده است. Secureworks اخیراً متوجه تحولاتی در تاکتیک هایی شده است که معتقد است این بازیگر ممکن است استفاده کرده باشد.
یکی از مشاغل این گروه، اجتناب از لپتاپهای مستعمل شرکتی با هدایت آنها به تسهیلکنندگان در مزارع لپتاپ است. در برخی موارد، پیمانکاران برای استفاده از لپتاپ شخصی بهجای دستگاهی که توسط شرکت صادر شده است، درخواست مجوز می،د و ترجیح میدادند راهاندازی زیرساخت دسکتاپ مجازی (VDI) را نشان دهند.
اگر درخواست باج صادر می شد، مهاجم با استفاده از آدرس های IP در فضای آدرس Astrill VPN و آدرس های پرا،ی مس، برای پنهان ، آدرس IP منبع واقعی استفاده شده برای فعالیت م،ب، به داده های شرکت دسترسی پیدا می کرد.
مدت کوتاهی پس از اینکه سازمان به دلیل عملکرد ضعیف، استخدام پیمانکار را خاتمه داد، یک سری ایمیل از یک آدرس ایمیل خارجی Outlook برای شرکت ارسال شد. یکی از ایمیلها شامل ضمیمههای آرشیو ZIP حاوی شواهدی از دادههای دزدیده شده بود و دیگری برای جلوگیری از انتشار اسناد دزدیده شده، باج شش رقمی در ارزهای دیجیتال درخواست کرد.
عوامل تهدید نیز با استفاده از Chrome Remote Desktop و AnyDesk برای دسترسی از راه دور مشاهده شده اند.
کارکنان فناوری اطلاعات کره شمالی در طول تاریخ از فعال ، ویدیو در طول تماس اجتناب میکنند و گاهی اوقات ادعا میکنند که با وبکمهای لپتاپهای تولیدی این شرکت مشکل دارند. با این حال، به نظر میرسد که Nickel Tapestry از نرمافزار رایگان SplitCam استفاده میکند که به ،وان یک شبیهسازی ویدیویی مجازی تبلیغ میشود و آن را قادر میسازد تا تماسهای شرکت را تسهیل کند.
همچنین مشاهده شده است که عوامل تهدید چندین بار در مدت کوتاهی حساب بانکی را برای دریافت چک به روز می کنند. این شامل استفاده از خدمات پرداخت دیجیتال برای دور زدن سیستم های بانکداری سنتی است.
نحوه شناسایی طرح های کارگری در کره شمالی
Secureworks گفت گسترش عملیات Nickel Tapestry برای شامل سرقت مالکیت م،وی با پتانسیل سود مالی بیشتر از طریق اخاذی، به طور قابل توجهی مشخصات ریسک سازمان هایی را که به طور ناخواسته یک کارگر فناوری اطلاعات کره شمالی را استخدام می کنند، تغییر داده است.
به شرکت هایی که کارمندان فناوری اطلاعات از راه دور استخدام می کنند، توصیه می شود که یک فرآیند مصاحبه کامل را برای شناسایی فعالیت های مشکوک انجام دهند. این شامل:
- هویت نامزدها را با بررسی اسناد از نظر سازگاری، از جمله نام، ملیت، اطلاعات تماس و سابقه کاری تأیید کنید
- مصاحبه های حضوری یا ویدیویی انجام دهید و فعالیت های مشکوک را در طول تماس زیر نظر بگیرید
- مراقب درخواستهای داوطلبان مبنی بر تغییر آدرس در طول فرآیند ورود و پرداخت مستقیم به خدمات انتقال پول باشید.
- استفاده از ابزارهای دسترسی از راه دور غیرمجاز را محدود کنید و دسترسی به سیستم های غیر ضروری را محدود کنید.
تحقیقاتی که توسط واحد 42 شبکه پالو ،و در اکتبر 2024 منتشر شد، فعالیت جدید بازیگران تهدید کره شمالی را که به ،وان استخدامکنندهها برای نصب ب،زار بر روی دستگاههای جویندگان کار فناوری ظاهر میشوند، برجسته کرد.
دو بخش ب،زار مرتبط با این کمپین عبارتند از دانلودر BeaverTail و درپشتی InvisibleFerret.
منبع: https://www.infosecurity-magazine.com/news/north-korea-it-worker-extort/