Sapphire Sleet APT
Die mit Nordkorea verbundene Bedrohungsgruppe namens Sapphire Sleet hat Berichten zufolge über einen Zeitraum von sechs Monaten durch Social-Engineering-Programme Kryptowährungen im Wert von über 10 Millionen US-Dollar erbeutet. Forschungsergebnisse deuten darauf hin, dass verschiedene Bedrohungscluster mit Verbindungen zu Nordkorea betrügerische LinkedIn-Profile erstellt haben. Diese Profile, die sowohl Personalvermittler als auch Arbeitssuchende imitieren, zielen darauf ab, illegale Aktivitäten zu erleichtern und finanzielle Unterstützung für das mit schweren Sanktionen belegte Regime zu generieren.
Sapphire Sleet ist seit mindestens 2020 aktiv und hat Verbindungen zu anderen Hackergruppen wie APT38 und BlueNoroff. Im November 2023 entdeckten Forscher, dass die Gruppe eine Infrastruktur eingerichtet hatte, die Plattformen zur Kompetenzbewertung nachahmte, und diese Websites nutzte, um ihre Social-Engineering-Taktiken auszuführen.
Inhaltsverzeichnis
Täuschende Taktiken des Sapphire Sleet
Im vergangenen Jahr hat die Gruppe hauptsächlich die Strategie verfolgt, sich als Risikokapitalgeber auszugeben und vorzutäuschen, am Geschäft eines Ziels interessiert zu sein, um ein Online-Meeting zu arrangieren. Wenn die Zielpersonen versuchen, an dem Meeting teilzunehmen, werden ihnen Fehlermeldungen angezeigt, die sie auffordern, sich an den Meeting-Administrator oder das Support-Team zu wenden, um Hilfe zu erhalten.
Wenn das Opfer dem nachkommt, stellen die Angreifer eine auf das Betriebssystem des Opfers zugeschnittene AppleScript-Datei (.scpt) oder Visual Basic Script-Datei (.vbs) bereit, unter dem Vorwand, das Problem zu lösen. Hinter den Kulissen sind diese Skripte darauf ausgelegt, Schadsoftware auf dem macOS- oder Windows-Gerät des Opfers zu installieren, sodass die Angreifer Anmeldeinformationen abgreifen und auf Kryptowährungs-Wallets zugreifen können, um diese anschließend zu stehlen.
Nachahmung einer legitimen Entität, um Opfer zu täuschen
Es wurde beobachtet, dass sich Sapphire Sleet auf LinkedIn als Personalvermittler für bekannte Finanzinstitute wie Goldman Sachs ausgab. Bei dieser Taktik werden potenzielle Opfer kontaktiert und aufgefordert, einen Kompetenztest auf einer von den Bedrohungsakteuren kontrollierten Website durchzuführen.
Opfer erhalten ein Anmeldekonto und ein Passwort, um auf die betrügerische Website zuzugreifen. Wenn sie sich anmelden und Dateien herunterladen, die mit der angeblichen Bewertung in Zusammenhang stehen, installieren sie versehentlich Malware auf ihren Geräten und gewähren Angreifern unbefugten Zugriff auf ihre Systeme.
Darüber hinaus haben Cybersicherheitsanalysten darauf hingewiesen, dass Nordkorea im Rahmen einer vielschichtigen Strategie Tausende IT-Mitarbeiter ins Ausland entsendet. Diese Mitarbeiter erwirtschaften durch legale Beschäftigung Einnahmen für das Regime, nutzen ihren Zugang, um geistiges Eigentum zu stehlen und Daten zu stehlen, um Lösegeld zu fordern.
Aufgrund von Beschränkungen in Nordkorea, wie etwa der Unmöglichkeit, Bankkonten zu eröffnen oder Telefonnummern zu erhalten, sind diese IT-Mitarbeiter auf Vermittler angewiesen, um Zugang zu Plattformen zu erhalten, auf denen sie Remote-Jobs bekommen können. Diese Vermittler helfen bei Aufgaben wie dem Erstellen von Konten auf Websites für freiberufliche Jobs und dem Einrichten gefälschter Profile und Portfolios auf Plattformen wie GitHub und LinkedIn, um mit Personalvermittlern zu interagieren und sich auf Stellenangebote zu bewerben.
Cyberkriminelle nutzen KI-Technologien für ihre Operationen
In einigen Fällen nutzte die Gruppe Tools für künstliche Intelligenz (KI) wie Faceswap, um Fotos und Dokumente zu verändern, die sie von ihren Opfern erhalten hatte. Diese veränderten Bilder, die oft in einem professionellen Umfeld platziert werden, werden dann in Lebensläufen oder Profilen verwendet – manchmal unter mehreren Identitäten –, die für Bewerbungen eingereicht werden.
Über die Bildmanipulation für Bewerbungen hinaus experimentieren nordkoreanische IT-Mitarbeiter auch mit anderen KI-Technologien, darunter Software zur Stimmveränderung, um ihre Täuschungsmanöver zu verstärken.
Die nordkoreanischen IT-Mitarbeiter verfügen offenbar über ein gut organisiertes System zur Nachverfolgung der eingehenden Zahlungen. Ihre gemeinsamen Bemühungen dürften einen Umsatz von mindestens 370.000 Dollar erwirtschaftet haben.
