Рекрутеры-призраки: как Северная Корея похитила $10 млн через поддельные профили LinkedIn

Рекрутеры-призраки: как Северная Корея похитила $10 млн через поддельные профили LinkedIn

Искусственный интеллект стал главным оружием северокорейских аферистов.

image

Группировка Sapphire Sleet, связанная с Северной Кореей, за шесть месяцев похитила криптовалюту на сумму свыше 10 миллионов долларов. Microsoft раскрыла, что злоумышленники использовали социальную инженерию и создавали поддельные профили на LinkedIn, выдавая себя за рекрутеров или соискателей работы, чтобы генерировать незаконный доход для страны, находящейся под санкциями.

Группа действует как минимум с 2020 года и пересекается с известными хакерскими объединениями APT38 и BlueNoroff. В ноябре 2023 года Microsoft сообщила, что Sapphire Sleet создала инфраструктуру, маскирующуюся под порталы оценки навыков, для реализации своих атак.

Одним из основных методов группы стала выдача себя за венчурных капиталистов. Злоумышленники проявляют интерес к компаниям жертв, чтобы организовать онлайн-встречу. На этапе подключения пользователи сталкиваются с ошибками и инструкциями, как связаться с «администратором комнаты». Далее им отправляют файлы-скрипты, которые загружают вредоносное ПО для кражи данных.

Sapphire Sleet также выдавала себя за сотрудников финансовых компаний, включая Goldman Sachs, предлагая жертвам пройти оценку навыков через сайты, находящиеся под контролем группы. В результате пользователи загружали вредоносный код, дающий злоумышленникам доступ к системе.

Кроме того, Microsoft отметила масштабную отправку северокорейских IT-работников за рубеж. Эти специалисты зарабатывают для режима как «легальной» работой, так и злоупотреблением доступом, крадя интеллектуальную собственность и данные. Для обхода ограничений они используют посредников, создающих аккаунты на платформах для фриланса.

Группа также применяет технологии искусственного интеллекта, такие как FaceSwap, для подделки фото и документов, используемых в резюме. Иногда одно фото используется сразу для нескольких профилей. Кроме того, хакеры осваивают программы для изменения голоса, что помогает в создании убедительных поддельных персон.

В целом, IT-работники из Северной Кореи, по данным Microsoft, заработали уже порядка 370 тысяч долларов, эффективно координируя свои действия и отслеживая поступающие средства.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!