朝鲜APT SAPPHIRE SLEET 通过虚假技能评估门户网站瞄准 IT 求职者

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

与朝鲜APT 组织 Sapphire Sleet 设立了虚假的技能评估门户，针对 IT 求职者进行攻击。

与朝鲜有关的 APT 组织 Sapphire Sleet（又名APT38、BlueNoroff、CageyChameleon和CryptoCore ）被认为是流行的Lazarus APT 组织的一个子组织。APT 组织的活动重点是加密货币交易所、风险投资公司和银行。

微软研究人员警告说，一场针对 IT 求职者的新社会工程活动依赖于一组新的虚假技能评估门户。

“微软追踪的威胁行为者 Sapphire Sleet 以通过社会工程窃取加密货币而闻名，在过去几周创建了伪装成技能评估门户的新网站，这标志着持续行为者策略的转变。”通过一系列关于 X 的帖子警告微软。

过去，人们通过 LinkedIn 等平台观察 Sapphire Sleet，并使用与技能评估相关的诱饵。一旦与受害者建立了联系，威胁行为者就会将其转移到其他平台，例如即时通讯应用程序或电子邮件。

Sapphire Sleet 直接发送武器化附件或使用 GitHub 等合法网站上托管的页面链接。微软专家认为，在揭露 Sapphire Sleet 的策略后，APT 组织转而采用新的攻击技术，创建了自己的网站。

该组织创建了多个域名来诱骗招聘人员注册帐户。

Microsoft 客户可以使用 Microsoft 产品中的以下报告来获取有关此活动的更多详细信息以及有关 Sapphire Sleet 的最新信息：

Microsoft Defender 威胁情报：https: //t.co/sYHXolt4ss

Microsoft 365 Defender：https: //t.co/kNo9n3WGOB

— 微软威胁情报 (@MsftSecIntel) 2023 年 11 月 8 日

Jamf 威胁实验室的研究人员最近发现了一种名为 ObjCShellz 的新 macOS 恶意软件菌株，并将其归因于与朝鲜有关的 APT  BlueNoroff。专家们注意到 ObjCShellz 恶意软件与 BlueNoroff APT 组织 相关的 RustBucket恶意软件活动有相似之处 。 

研究人员尚未确定哪些是 ObjCShellz 攻击的受害者，但是，选择使用与合法交易所类似的域名表明威胁行为者针对的是对加密货币领域感兴趣的实体或个人。

最近，Elastic Security Labs 报告称，与朝鲜有关的 Lazarus APT 组织被发现使用新的 KandyKorn macOS 恶意软件 来攻击区块链工程师。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜APT SAPPHIRE SLEET 通过虚假技能评估门户网站瞄准 IT 求职者