Северокорейские киберпреступники разработали изощренные методы проникновения в западные компании, выдавая себя за высококвалифицированных ИТ-специалистов, специализирующихся на веб-разработке. Такой подход стал особенно актуален на фоне усиливающихся санкций, существенно ограничивающих доступ режима к традиционным финансовым ресурсам.
Тактика обмана
Одним из основных методов, применяемых мошенниками, является создание поддельных профилей на профессиональных платформах, таких как LinkedIn. Эти профили часто содержат:
- Раздутые резюме с завышенной квалификацией;
- Контент, созданный с помощью искусственного интеллекта;
- Идентичные резюме с разными фотографиями на нескольких сайтах по трудоустройству.
После трудоустройства, оперативники сохраняют свои профили в режиме #OpenToWork, что позволяет им продолжать подавать заявки на новые вакансии, одновременно осуществляя мошеннические действия.
Инструменты скрытности
Чтобы избежать выявления, северокорейские хакеры используют различные инструменты, включая Astrill VPN, который помогает скрывать их реальное местоположение. Однако, иногда это VPN-соединение прерывается, что может раскрыть их истинные географические данные. Кроме того, они используют клавиатуру, видео и мышь поверх IP-устройств (IP-KVM) для дискретного доступа к корпоративным сетям.
Сложные условия работы
Недавние расследования показали, что оперативники зачастую прибегают к услугам проверки подлинности у российских интернет-провайдеров (ISP), таких как «ТрансТелеком», а также к китайским соединениям через China Unicom. Это создает сложную оперативную среду, позволяя множеству участников действовать под прикрытием одной учетной записи.
Уязвимости в корпоративной среде
Северокорейские оперативники активно используют уязвимости в компаниях, нацеливаясь на организации с политикой Принеси свое собственное устройство (BYOD). Это подчеркивает необходимость более строгих внутренних политик:
- Внедрение корпоративных систем, предназначенных только для бизнеса (COBO);
- Тщательная проверка биографических данных потенциальных сотрудников;
- Мониторинг необычных географических данных при входе в систему.
Рекомендации по защите
Организациям рекомендуется внедрить следующие стратегии для повышения безопасности:
- Контроль за удаленными интерфейсами;
- Ограничение использования USB-устройств;
- Проведение регулярных проверок на наличие уязвимостей.
Поскольку северокорейские оперативники продолжают адаптировать свои методы, важно, чтобы организации усиливали свои системы защиты. Проактивный подход к мониторингу угроз и обновлению мер безопасности будет играть жизненно важную роль в противодействии стратегиям, применяемым этими государственно спонсируемыми инсайдерами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Северокорейские хакеры: новые тактики проникновения в компании".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.