Sapphire Sleet APT
サファイア・スリートと特定されている北朝鮮関連の脅威グループは、6か月間に渡るソーシャルエンジニアリングの計画を通じて、1,000万ドル以上の暗号通貨を搾取したと報じられている。調査結果によると、北朝鮮と関係のあるさまざまな脅威集団が、偽のLinkedInプロフィールを作成している。採用担当者と求職者の両方を模倣するように設計されたこれらのプロフィールは、違法行為を促進し、厳しい制裁を受けている政権への財政支援を生み出すことを目的としている。
少なくとも2020年から活動しているサファイアスリートは、 APT38やBlueNoroffなどの他のハッキング組織とつながりを持っています。2023年11月、研究者らは、このグループがスキル評価プラットフォームを模倣したインフラストラクチャを構築し、これらのサイトを利用してソーシャルエンジニアリング戦術を実行していることを明らかにしました。
目次
サファイア・スリートが用いる欺瞞戦術
過去 1 年間、このグループは主にベンチャー キャピタリストになりすまし、ターゲットのビジネスに興味があるように見せかけてオンライン会議を手配するという戦略を採用してきました。ターゲットが会議に参加しようとすると、会議の管理者またはサポート チームに連絡して支援を求めるよう指示するエラー メッセージが表示されます。
被害者が従うと、攻撃者は問題を解決すると見せかけて、被害者のオペレーティング システムに合わせて調整された AppleScript (.scpt) ファイルまたは Visual Basic Script (.vbs) ファイルを提供します。舞台裏では、これらのスクリプトは、被害者の macOS または Windows デバイスに悪意のあるソフトウェアを展開するように設計されており、攻撃者は認証情報を収集し、暗号通貨ウォレットにアクセスしてその後盗難を行うことができます。
正当な組織になりすましてターゲットを騙す
Sapphire Sleet は、LinkedIn 上でゴールドマン サックスなどの有名金融機関の採用担当者になりすましているのが確認されています。この手法では、潜在的なターゲットに連絡を取り、脅威アクターが管理する Web サイトでホストされているスキル評価を完了するよう依頼します。
被害者には、詐欺サイトにアクセスするためのサインイン アカウントとパスワードが提供されます。ログインして、想定される評価に関連するファイルをダウンロードすると、意図せずデバイスにマルウェアがインストールされ、攻撃者がシステムに不正アクセスできるようになります。
さらに、サイバーセキュリティのアナリストは、北朝鮮が多面的な戦略の一環として何千人ものIT労働者を海外に派遣していることを指摘している。これらの労働者は合法的な雇用を通じて政権に収入をもたらし、そのアクセスを利用して知的財産を盗み、身代金要求のためにデータを盗んでいる。
北朝鮮国内では銀行口座を開設したり電話番号を取得したりできないなどの制限があるため、これらのIT工作員は、遠隔地での仕事を確保できるプラットフォームにアクセスするために仲介業者に頼っています。仲介業者は、フリーランス求人サイトにアカウントを作成したり、GitHubやLinkedInなどのプラットフォームに偽のプロフィールやポートフォリオを設定してリクルーターとやり取りしたり、求人に応募したりするなどの作業を手伝います。
サイバー犯罪者はAI技術を活動に取り入れている
いくつかのケースでは、このグループは Faceswap などの人工知能 (AI) ツールを利用して、被害者から入手した写真や文書を改変していることが判明しています。これらの改変された画像は、多くの場合、職場の環境に置かれ、その後、就職活動に提出される履歴書やプロフィール (時には複数の身元で) に使用されます。
北朝鮮のIT労働者は、就職活動のための画像操作以外にも、音声変換ソフトウェアなど他のAI技術も研究し、詐欺行為を強化している。
北朝鮮のIT労働者は、受け取った支払いを追跡するためのよく組織化されたシステムを維持しているようだ。彼らの共同の努力により、少なくとも37万ドルの収益が生み出されたと推定される。
