导 读
与曹县有关的威胁行为者 Sapphire Sleet 在六个月内策划的社会工程活动中窃取了价值超过 1000 万美元的加密货币。
这些发现来自微软,该公司表示,已经观察到多个与曹县有联系的威胁活动集群在 LinkedIn 上创建虚假个人资料,冒充招聘人员和求职者,创造非法收入。
据悉,Sapphire Sleet 至少从 2020 年开始活跃,与被追踪为 APT38 和 BlueNoroff 的黑客组织有重叠。
2023 年 11 月,微软公司透露,该威胁组织已经建立了冒充技能评估门户的基础设施来开展其社会工程活动。
该组织一年多来采用的主要手段之一是冒充风险投资家,谎称对目标用户的公司感兴趣,以便安排在线会议。上当受骗并试图连接到会议的目标用户将收到错误消息,敦促他们联系会议室管理员或支持团队寻求帮助。
如果受害者联系攻击者,他们会收到 AppleScript (.scpt) 文件或 Visual Basic Script (.vbs) 文件,具体取决于用于解决所谓连接问题的操作系统。
在底层,该脚本用于将恶意软件下载到受感染的 Mac 或 Windows 机器上,最终允许攻击者获取凭证和加密货币钱包以进行后续盗窃。
有人发现 Sapphire Sleet 在 LinkedIn 上伪装成高盛等金融公司的招聘人员,联系潜在目标并要求他们完成在其控制的网站上进行的技能评估。
假冒招聘人员的 LinkedIn 个人资料
微软表示:“威胁组织向目标用户发送登录账户和密码。在登录网站并下载与技能评估相关的代码时,目标用户会将恶意软件下载到他们的设备上,从而使攻击者能够访问系统。”
微软还将曹县向海外派遣数千名 IT 工作者视为三重威胁:通过“合法”工作赚钱、允许他们滥用职权获取知识产权、并通过盗窃数据来换取赎金。
曹县 IT 工作者生态系统
“由于曹县人很难注册银行账户或电话号码等,因此 IT 工作者必须利用中介来帮助他们获得可以申请远程工作的平台访问权限。”报告称。“IT 工作者利用这些中介来完成诸如在自由职业网站上创建账户等任务。”
曹县 IT 工作者使用的示例个人资料
这包括在 GitHub 和 LinkedIn 等开发者平台上创建虚假的个人资料和作品集,以便与招聘人员沟通并申请工作。
曹县 IT 工作者 LinkedIn 个人资料示例
2024 年10 月,微软发现了一个包含曹县 IT 工作者文件的公共存储库。该存储库包含以下信息:
-
曹县 IT 工作者使用的简历和电子邮件账户
-
这些工作人员使用的基础设施(VPS 和 VPN 帐户以及特定的 VPS IP 地址)
-
进行身份盗窃以及在自由职业者网站上创建和竞标工作而不被举报的剧本
-
疑似曹县 IT 工作者的真实图像和 AI 增强图像
-
钱包信息和疑似支付给中介的款项
-
LinkedIn、GitHub、Upwork、TeamViewer、Telegram 和 Skype 帐户
-
这些 IT 工作者所完成的工作和收到的报酬的跟踪表
审查该存储库表明,曹县 IT 工作者正在进行身份盗窃,并使用 Faceswap 等 AI 工具将他们的照片转移到他们从受害者那里窃取的文档中。
攻击者还使用 Faceswap 拍摄曹县 IT 工作者的照片,并将其转移到看起来更专业的环境中。
曹县 IT 工作者使用 AI 工具创建的照片随后被用于提交求职申请的简历或个人资料中,有时用于多个角色。
使用人工智能应用程序修改曹县 IT 工作者简历和个人资料的照片
在同一个存储库中,微软威胁情报还发现了疑似朝鲜 IT 工作者的照片:
曹县潜在 IT 工作者的照片
微软观察到,除了使用人工智能协助创建用于求职申请的图像外,曹县 IT 工作者还在试验其他人工智能技术,例如语音转换软件。
“曹县 IT 工作者在追踪收到的付款方面似乎非常有组织性。总体而言,这群曹县 IT 工作者似乎通过他们的努力至少赚了 37 万美元。”
技术报告:
https://www.microsoft.com/en-us/security/blog/2024/11/22/microsoft-shares-latest-intelligence-on-north-korean-and-chinese-threat-actors-at-cyberwarcon/
https://www.sentinelone.com/labs/dprk-it-workers-a-network-of-active-front-companies-and-their-links-to-china/
新闻链接:
https://thehackernews.com/2024/11/north-korean-hackers-steal-10m-with-ai.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
Gelsemium APT 组织使用名为 WolfsBane 的新 Linux 后门
https://securityaffairs.com/171299/apt/china-linked-apt-gelsemium-linux-backdoor.html
印度黑客组织 APT-K-47 使用朝觐主题诱饵传播高级 Asyncshell 恶意软件
https://thehackernews.com/2024/11/apt-k-47-uses-hajj-themed-lures-to.html
微软报告称,朝鲜黑客利用 LinkedIn 上的人工智能诈骗和恶意软件窃取 1000 万美元
https://thehackernews.com/2024/11/north-korean-hackers-steal-10m-with-ai.html
俄罗斯 APT28 组织利用“Nearest Neighbor Attack(最近邻攻击)”的新技术针对美国
https://www.bleepingcomputer.com/news/security/hackers-breach-us-firm-over-wi-fi-from-russia-in-nearest-neighbor-attack/
一般威胁事件
General Threat Incidents
黑客滥用 Avast 反 rootkit 驱动程序来禁用防御措施
https://www.bleepingcomputer.com/news/security/hackers-abuse-avast-anti-rootkit-driver-to-disable-defenses/
安德鲁·泰特大学数据泄露:100 万条用户记录和聊天记录遭泄露
https://hackread.com/andrew-tate-university-breach-user-records-chats-leak/
维基解密举报人切尔西·曼宁利用防御 NSA 监视的 VPN 对抗人工智能监控
https://cybernews.com/security/wikileaks-whistleblower-chelsea-manning-battles-ai-surveillance/
曼谷破获一起用货车发送 100 万条诈骗短信的 SMS Blaster 案件
https://www.bleepingcomputer.com/news/security/bangkok-busts-sms-blaster-sending-1-million-scam-texts-from-a-van/
网络攻击破坏美国博彩巨头 IGT 的系统
https://www.securityweek.com/cyberattack-disrupts-systems-of-gambling-giant-igt/
美国取缔盗窃信用卡交易市场 PopeyeTools
https://www.securityweek.com/us-takes-down-stolen-credit-card-marketplace-popeyetools/
微软查获埃及网络钓鱼服务行动“ONNX”使用的 240 个网站
https://therecord.media/microsoft-seizes-websites-onnx-phishing
持续攻击活动中超过 2,000 台 Palo Alto Networks 设备遭黑客入侵
https://thehackernews.com/2024/11/warning-over-2000-palo-alto-networks.html
CISA 称 BianLian 勒索软件目前仅专注于数据盗窃
https://www.bleepingcomputer.com/news/security/cisa-says-bianlian-ransomware-now-focuses-only-on-data-theft/
制造业成为高级电子邮件攻击的目标
https://www.infosecurity-magazine.com/news/manufacturing-advanced-email/
漏洞事件
Vulnerability Incidents
7-Zip 受到危险漏洞影响:用户必须手动更新应用程序
https://cybernews.com/security/7-zip-affected-by-dangerous-vulnerability/
AnyDesk 存在严重漏洞,攻击者可获知用户 IP 地址
https://cybersecuritynews.com/critical-anydesk-vulnerability-let-attackers-uncover-user-ip-address/
40 万个系统可能面临 2023 年最易被利用的漏洞
https://www.securityweek.com/400000-systems-potentially-exposed-to-2023s-most-exploited-flaws/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):微软报告称,曹县黑客利用 LinkedIn 上的人工智能诈骗和恶意软件窃取 1000 万美元
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论