事件报告摘要：内部威胁

首先：没有非法访问获得，也没有数据丢失、泄露或在任何KnowBe4系统上被窃取。这不是数据泄露通知，没有发生。将其视为我与您分享的组织学习时刻。如果这对我们来说可能发生，那么对几乎所有人来说都可能发生。不要让它发生在你身上。故事更新于2024年7月24日。

简介

KnowBe4需要为我们的内部IT AI团队聘请一名软件工程师。我们发布了工作，收到了简历，进行了面试，进行了背景调查，核实了推荐人，并雇用了该人员。我们给他们发送了他们的Mac工作站，一旦收到，它立即开始加载恶意软件。

我们的人力资源团队在不同场合进行了四次基于视频会议的面试，确认个人与申请表上提供的照片匹配。此外，还执行了背景调查和所有其他标准的聘用前检查，并且由于使用的被盗身份，结果清晰。这是一个使用有效但被盗的美国身份的真实人。这张照片是AI“增强”的。

终端检测和响应软件检测到它并提醒了我们的信息安全运营中心。安全运营团队打电话给新员工，问他们是否可以提供帮助。就在那时事情变得很快可疑。我们与我们的朋友Mandiant分享了收集到的数据，Mandiant是一家领先的全球网络安全专家，以及FBI，以证实我们的初步发现。事实证明，这是一个来自朝鲜的假IT工作者。你所看到的照片是一个以库存照片（如下）开始的AI假照片。以下摘要中的细节有限，因为这是一个正在进行的FBI调查。

摘要：

本报告涵盖了对员工ID：XXXX的调查，他被聘为首席软件工程师。2024年7月15日，该用户账户上检测到一系列可疑活动。根据安全运营团队对活动的评估，发现这可能是用户故意的，并怀疑他可能是内部威胁/国家行为者。在初步调查和控制主机之后，对新员工进行了更详细的询问。

2024年7月15日，在东部夏令时晚上9:55，检测到用户开始的一系列可疑活动。当这些警报进来时，KnowBe4的安全运营团队联系了用户，询问异常活动和可能的原因。XXXX回应说，他正在按照他的路由器指南上的步骤解决速度问题，这可能导致了告警。

攻击者执行了各种操作，以操作会话历史记录文件，传输可能有害的文件，并执行未经授权的软件。他使用树莓派（一种小型、廉价的计算机）下载恶意软件。安全运营团队试图从XXXX获取更多细节，包括让他打电话。XXXX表示他不能打电话，后来没有回复了。大约在东部夏令时晚上10:20，安全运营团队控制了XXXX的设备。

整个过程这样运作的：威胁行为者要求将他们的工作站发送到一个地址，这个地址基本上是一家“IT中转站”。然后他们从他们真正所在的地方（朝鲜或中国边境,卧槽，为黑而黑是吧？）通过VPN连接进来，并上夜班，以便他们看起来在美国白天工作。这个骗局是他们实际上在做工作，得到了很好的报酬，并将大量资金交给朝鲜以资助他们的非法项目。我不需要告诉你这个严重的风险。我们很高兴新员工在开始时在高度限制的区域，并没有访问生产系统。我们的安全系统监控抓住了它，但这确实是一个我愿意与大家分享的精彩时刻。

防止这种情况发生的提示

• 扫描您的远程设备，确保没有人远程进入这些设备。
• 更好的审查，确保他们在他们应该在的地方。
• 更好的简历扫描，寻找职业不一致之处。
• 让这些人出现在摄像机前并询问他们正在做的工作。
• 笔记本电脑的收货地址与他们应该居住/工作的地方不同是一个危险信号。

推荐的过程改进

• 背景调查似乎不够充分。使用的名字不一致。 

• 可能没有正确审查参考。不要仅依赖电子邮件参考资料。

• 对任何继续尝试访问系统的尝试实施增强监控。 

• 审查和加强访问控制和认证过程。 

• 为员工进行安全意识培训，强调社会工程的危害性。

要注意什么：

• 使用 VOIP 号码且提供的联系信息缺乏数字足迹

• 不同来源的地址和出生日期存在差异

• 个人信息存在冲突（婚姻状况、因“家庭紧急情况”无法联系等）

• 巧妙使用 VPN 或 VM 访问公司系统

• 尝试执行恶意软件并进行后续掩盖

提醒人力资源部门：

该主题在创建可信掩护身份、利用招聘和背景调查流程的弱点以及试图在组织系统内建立立足点方面表现出高度复杂性。

这是一个组织良好、国家赞助的大型犯罪团伙，拥有大量资源。该案件突出了更强大的审查流程、持续的安全监控以及人力资源、IT和安全团队之间更好的协调在防范高级持续性威胁方面的关键需求。左边是原始库存照片。右边是提交给人力资源部的AI假照片。

原始库存照片	AI假照片