朝鲜渗透者令人震惊的案件：从雇员到犯罪黑客！

一家公司在不知不觉中雇佣了一名IT 员工担任远程职位，后来却发现自己成为了朝鲜犯罪分子精心策划的网络攻击的受害者。

根据网络安全公司Secureworks的一份报告，该事件揭示了朝鲜黑客如何通过使用虚假身份注册来渗透西方公司。

涉案黑客提供了伪造的个人信息和工作经历细节，从而成功在一家在英国、美国和澳大利亚运营的公司找到了工作。

为了维持报道，该人选择保持匿名。

今年夏天受聘后，这名黑客获得了在家工作所需的工具。 

报告称，渗透者使用公司凭据悄悄下载了大量敏感数据。

在短短四个月的时间里，他在公司一无所知的情况下窃取了重要信息，同时仍然领取“工作”的薪水。

为了避免国际制裁，黑客通过复杂的洗钱网络将其赚取的资金转移到朝鲜。

当公司最终因绩效考核中表现不佳而决定解雇他时，黑客的反应是发送勒索邮件。

他威胁说，如果他不以加密货币支付被盗数据的报酬，就会给公司造成损失。

目前尚不清楚该公司是否已屈服于这些要求。

此案引起了商界的严重关注，专家警告说朝鲜的网络行动正在增加。

企业必须采取强有力的安全措施来保护自己免受此类威胁。

此外，担任远程职位的员工应始终谨慎向公司提供机密和识别信息。

朝鲜 IT 员工欺诈计划：从内部威胁到敲诈勒索

https://www.secureworks.com/blog/fraudulent-north-korean-it-worker-schemes

Secureworks® 反威胁单位 (CTU) 的研究人员观察到与朝鲜政府有关的 IT 工作者计划的模式和演变。在这些计划中，朝鲜国民使用偷来或伪造的身份以虚假借口在西方公司获得工作。美国、英国和澳大利亚都有此类活动的记录。

Secureworks 事件响应人员通过多次调查确定了与这些计划相关的技术和行为特征。在某些情况下，欺诈工人在获得内部访问权限后要求其前雇主支付赎金，这种策略在以前的计划中没有见过。在一个案例中，一名承包商在 2024 年中期开始工作后几乎立即泄露了专有数据（见图 1）。观察到的多个特征与NICKEL TAPESTRY威胁组织之前实施的欺诈计划相符，该组织历来依靠欺诈工人为朝鲜政权创造收入。据报道，这些资金用于武器计划。

图 1. 事件进展。

美国联邦调查局 (FBI)记录并由 Secureworks 观察到的一种策略涉及欺诈承包商请求更改公司笔记本电脑的送货地址，通常将其重新路由到笔记本电脑农场的服务商（见图 2）。在某些情况下，承包商请求允许使用个人笔记本电脑而不是公司发放的设备，并表现出对虚拟桌面基础架构 (VDI) 设置的强烈偏好。至少有一个案例，公司笔记本电脑已经发货，但承包商在设备运输途中要求更改送货地址，导致公司取消发货。这种行为与 NICKEL TAPESTRY 试图避免使用公司笔记本电脑的伎俩相符，可能消除了对国内服务商的需求并限制了对法医证据的获取。

图 2. 笔记本电脑农场设置，用于隐藏朝鲜 IT 工作者的欺诈性位置。

这种策略允许承包商使用个人笔记本电脑远程访问组织的网络。在一个案例中，承包商通过企业 VDI 解决方案将专有数据泄露到个人 Google Drive 位置。NICKEL TAPESTRY 使用 Astrill VPN 地址空间内的 IP 地址和住宅代理地址访问公司数据，以掩盖用于恶意活动的实际源 IP 地址。在该组织以表现不佳为由终止承包商的雇佣关系后不久，该公司收到了一系列来自外部 Outlook 电子邮件地址的电子邮件。其中一封电子邮件包含包含被盗数据证据的 ZIP 存档附件，另一封电子邮件要求以加密货币支付六位数的赎金，以避免公布被盗文件。当天晚些时候，一封来自 Gmail 地址的电子邮件分享了一个 Google Drive 文件夹，其中包含被盗数据的更多证据。这种升级以及 FBI 警报中列出的行为表明了这些阴谋的精心策划的性质。

Secureworks 事件响应人员还观察到威胁行为者使用 Chrome 远程桌面远程管理和访问公司系统。他们还使用 AnyDesk 进行远程访问，这不符合他们所承担的工作职责。在一次活动中，对 AnyDesk 日志的分析揭示了与 Astrill VPN IP 地址的连接，表明该应用程序是 NICKEL TAPESTRY 工具集的一部分。

从历史上看，朝鲜 IT 工作者尽可能避免在通话期间启用视频，甚至声称在公司发放的笔记本电脑上遇到网络摄像头问题。法医证据显示，他们使用了免费的 SplitCam 软件，该软件被宣传为虚拟视频克隆。NICKEL TAPESTRY 可能采用了 SplitCam 来促进公司视频通话，同时试图隐藏欺诈员工的身份和位置。根据这些观察，该威胁组织很可能正在尝试各种方法来满足公司在通话中启用视频的要求。

威胁者还经常表现出可疑的财务行为。在受雇期间，他们会在短时间内多次更新银行账户以接收薪水。CTU™ 研究人员观察到 Payoneer Inc. 数字支付服务运营的银行账户的使用情况。欺诈性的朝鲜 IT 工作者通常使用此类支付服务来绕过传统银行系统。欺骗性策略和财务操纵是这些计划中的典型手法。

许多朝鲜 IT 工作者计划还在同一家公司雇用的多名欺诈承包商之间建立联系。调查显示，承包商之间存在联系，他们互相提供推荐信，担任类似的工作角色，并使用类似的简历和电子邮件格式。这些人经常采用类似的特征和行为来扮演他们的角色，包括重新安排送货和支付工资。在一次接触中，该公司雇用的多名承包商之间的几项联系浮出水面，候选人 A 为未来的雇用提供了推荐信（候选人 B），而另一名可能的欺诈承包商（候选人 C）在候选人 B 被解雇后取代了候选人 B（见图 3）。在某些情况下，同一个人会采用多个角色。在一次事件中，在电子邮件通信中观察到的两种截然不同的写作风格表明多个人通过同一个电子邮件地址进行通信。这一观察表明，朝鲜 IT 工作者经常在同一地点工作，并且可能共享工作。

图 3. 同一组织雇用的多名欺诈员工之间的关系示例。

勒索要求的出现标志着 NICKEL TAPESTRY 计划与之前的计划有显著不同。然而，勒索之前观察到的活动与之前涉及朝鲜工人的计划一致。除了简历风格、地址和付款变更以及工作历史差异等共同特征外，CTU 研究人员还观察到住宅代理网络基础设施源自勒索事件和之前欺诈工人事件中使用的特定子网。

在许多欺诈性劳工计划中，威胁者通过维持就业和领取薪水表现出经济动机。然而，勒索事件表明，NICKEL TAPESTRY 已将其业务范围扩大到包括盗窃知识产权，并可能通过勒索获取额外的金钱收益。这一转变极大地改变了无意中雇用朝鲜 IT 工作者的组织的风险状况。

组织应警惕那些表现出以下大多数特征的完全远程 IT 职位候选人。虽然这些特征单独来看是无害的，但组合起来可能表明存在欺诈行为，应进行额外的身份和就业资格检查。

• 申请全栈开发人员职位

• 声称拥有 8-10 年经验

• 列出 3-4 名前雇主

• 经常展现初级到中级的英语写作和口语能力

• 提交的简历中包含了似乎被多名求职者抄袭的内容

• 在一天中不寻常的时间进行通信，并使用多种沟通方式

• 为在采访期间不启用摄像头找借口，或拒绝禁用虚拟背景

• 听起来像是在呼叫中心环境中讲话

CTU 研究人员建议，组织应通过检查文件是否一致来彻底核实候选人的身份，包括他们的姓名、国籍、联系方式和工作经历。进行面对面或视频面试，并在视频通话期间监控可疑活动（例如长时间的讲话中断）可以发现潜在的欺诈行为。组织应警惕候选人在入职过程中更改地址的请求以及将薪水转到汇款服务的请求。IT 人员应限制使用未经授权的远程访问工具，并限制对非必要系统的访问。

原文始发于微信公众号（网络研究观）：朝鲜渗透者令人震惊的案件：从雇员到犯罪黑客！