![朝鲜卧底 IT 人员窃取数据并勒索西方雇主]( "朝鲜卧底 IT 人员窃取数据并勒索西方雇主")
朝鲜 IT 专业人员欺骗西方公司雇用他们,窃取该组织的网络数据,并要求支付赎金以防止泄露数据。
派遣 IT 人员到富裕国家的公司就职是朝鲜多年来一直使用的一种策略,目的是获得网络攻击的特权或为该国的武器计划创造收入。
网络安全公司 Secureworks 的研究人员在多次调查此类欺诈行为时发现了勒索行为。
研究人员解释说,在一名有权访问专有数据的朝鲜国民(作为其承包商角色的一部分)的雇佣关系终止后,该公司将收到第一封勒索电子邮件。
为了获得工作并避免事后引起怀疑,这些欺诈性的 IT 工作者使用了虚假或偷来的身份,并依靠笔记本电脑农场通过美国的站点在其真实位置和公司之间路由网络流量。
他们还在通话时避免使用视频,或者在工作时使用各种技巧在视频会议期间隐藏自己的脸,例如使用人工智能工具。
![朝鲜卧底 IT 人员窃取数据并勒索西方雇主]( "朝鲜卧底 IT 人员窃取数据并勒索西方雇主")
7 月,美国网络安全公司KnowBe4 透露,他们是数百家受害公司之一,并且在这些公司中,攻击者试图在公司的计算机上安装信息窃取程序。
Secureworks 追踪到朝鲜 IT 工作者大军的组织名为“Nickel Tapestry”,而 Mandiant 则使用 UNC5267名称。
Secureworks 调查了 2024 年中期的 Nickel Tapestry 攻击活动的一个示例,一家公司在雇用外部承包商后几乎立即被窃取专有数据
数据通过公司的虚拟桌面基础设施 (VDI) 传输到个人 Google Drive 云存储。
在因绩效不佳而终止雇佣关系后,该公司开始收到来自外部 Outlook 和 Gmail 地址的勒索电子邮件,其中包含 ZIP 存档中被盗数据的样本。
攻击者要求以加密货币支付六位数的赎金,以换取不公开泄露数据。
Secureworks 的调查显示,Nickel Tapestry 在恶意活动期间使用了 Astrill VPN 和住宅代理来掩盖其真实 IP 地址,而 AnyDesk 则用于远程访问系统。
研究人员警告说,朝鲜的 IT 工作者经常相互推荐,为彼此的公司提供推荐。
组织在雇用远程工作者或自由职业者时应谨慎小心,并留意欺诈迹象,例如支付账户和笔记本电脑发货地址的变化、提交看起来通用的简历、不典型的通信时间以及不愿意在面试时启用摄像头。
信息来源:BleepingComputer
原文始发于微信公众号(犀牛安全):朝鲜卧底 IT 人员窃取数据并勒索西方雇主
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3351362.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论