Недавнее расследование, проведенное компанией Flashpoint, выявило замысловатую схему мошенничества с удаленными ИТ-работниками, организованную северокорейскими государственными структурами. По имеющимся данным, данная операция принесла не менее 88 миллионов долларов за шесть лет.
Методы и средства мошенничества
В рамках данной схемы использовались украденные учетные данные для обеспечения безопасности удаленных рабочих мест в американских компаниях и некоммерческих организациях. Ключевыми механизмами, способствовавшими мошенничеству, стали:
- Внедрение вредоносного ПО для кражи информации;
- Анализ скомпрометированных учетных данных и логов infostealer;
- Использование поддельных учетных записей.
Аналитики провели детальный анализ и выявили несколько доменных имен, связанных с мошенническими операциями. В исторических данных о владельцах регистраций были обнаружены совпадающие адреса электронной почты.
Доказательства связи с КНДР
Одно из хостинговых пространств, расположенное в Лахоре, Пакистан, стало ключевым для расследования. Здесь были найдены сохраненные учетные данные, связанные с именем «J.S.», упомянутым в судебном обвинении. В течение 2023 года этот хост активно использовался для подачи заявлений о приеме на работу от поддельных компаний, предполагаемо созданных северокорейскими властями.
Особое внимание привлекло использование программного обеспечения для удаленного рабочего стола AnyDesk, что позволяет предположить, что зараженный компьютер предназначался именно для удаленного доступа. А также были зафиксированы следующие признаки, указывающие на причастность Северной Кореи:
- Использование Astrill VPN, настроенных на американские IP-адреса;
- Языковые настройки с методом ввода на корейском языке и китайским часовым поясом.
Тактика и манипуляции
В одном из обнаруженных профилей браузера содержалось множество URL-адресов Google Translate. Это может свидетельствовать о потенциальной связи между руководителями, говорящими на корейском и некорейском языках. Анализ данных позволил глубже понять их тактику работы, включая:
- Манипуляцию ожиданиями менеджеров в отношении видеозвонков;
- Методы маскировки голоса.
Улики также свидетельствуют о том, что схема мошенничества включала обсуждение логистики доставки электронных устройств, таких как телефоны и ноутбуки, которые, вероятно, предназначались для удаленного доступа северокорейских работников. В отчетах упоминается, что сотрудник из США может получать эти корпоративные устройства, к которым затем агенты КНДР получают удаленный доступ.
Выводы и рекомендации
Общее расследование выявило сложное планирование и методологию северокорейской операции по мошенничеству с удаленной работой, предоставив четкие доказательства их глобального охвата и настойчивости в использовании законных платформ трудоустройства.
Результаты исследования подчеркивают значение анализа угроз для выявления подозрительных действий и защиты от изощренных схем кибермошенничества.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Северокорейское мошенничество: 88 миллионов долларов через удаленные ИТ-работы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.