Nhóm hacker có liên quan đến Triều Tiên, được biết đến với tên gọi Sapphire Sleet, ước tính đã đánh cắp hơn 10 triệu đô tiền mã hóa trong các chiến dịch tấn công phi kỹ thuật diễn ra trong vòng sáu tháng.
Thông tin này được Microsoft đưa ra, cho biết rằng nhiều nhóm hoạt động tấn công có liên quan đến Triều Tiên đã tạo ra các hồ sơ giả mạo trên LinkedIn, đóng giả cả nhà tuyển dụng lẫn ứng viên để tạo ra nguồn thu bất hợp pháp cho quốc gia bị cấm vận này.
Sapphire Sleet, nhóm hacker hoạt động ít nhất từ năm 2020, có sự trùng lặp với các nhóm hacker APT38 và BlueNoroff. Vào tháng 11 năm 2023, Microsoft tiết lộ rằng nhóm hacker này đã thiết lập cơ sở hạ tầng giả mạo các cổng đánh giá kỹ năng để thực hiện các chiến dịch tấn công phi kỹ thuật.
Một trong những phương pháp chính mà nhóm này áp dụng trong hơn một năm qua là giả danh nhà đầu tư mạo hiểm, đánh lừa mục tiêu rằng họ quan tâm đến công ty của người dùng để thiết lập cuộc họp trực tuyến. Các đối tượng mục tiêu nếu bị mắc lừa và cố gắng tham gia cuộc họp sẽ gặp phải thông báo lỗi, yêu cầu họ liên hệ với quản trị viên phòng hoặc đội hỗ trợ để được trợ giúp.
Nếu nạn nhân liên hệ với nhóm tấn công, họ sẽ nhận được một tệp AppleScript (.scpt) hoặc Visual Basic Script (.vbs), tùy thuộc vào hệ điều hành được sử dụng, để “giải quyết” vấn đề kết nối giả mạo. Các tệp này sẽ được sử dụng để tải phần mềm độc hại vào máy Mac hoặc Windows bị xâm nhập, từ đó cho phép hacker lấy được thông tin đăng nhập và ví tiền mã hóa của nạn nhân.
Sapphire Sleet cũng đã giả mạo là nhà tuyển dụng cho các công ty tài chính như Goldman Sachs trên LinkedIn để tiếp cận các mục tiêu tiềm năng và yêu cầu họ hoàn thành một bài kiểm tra kỹ năng trên một trang web do nhóm kiểm soát.
“Hacker gửi tài khoản và mật khẩu để đăng nhập vào trang web,” Microsoft cho biết. “Khi người dùng đăng nhập vào trang web và tải mã liên quan đến bài kiểm tra kỹ năng, họ sẽ vô tình tải phần mềm độc hại vào thiết bị của mình, cho phép hacker truy cập vào hệ thống.”
Microsoft cũng đã chỉ ra rằng việc Triều Tiên gửi hàng nghìn nhân viên IT ra nước ngoài là một mối đe dọa ba mặt: kiếm tiền cho chế độ thông qua công việc “hợp pháp”, lạm dụng quyền truy cập để chiếm đoạt tài sản trí tuệ, và tạo điều kiện cho việc đánh cắp dữ liệu để đòi tiền chuộc.
“Vì rất khó để một người ở Triều Tiên đăng ký các dịch vụ như tài khoản ngân hàng hay số điện thoại, các nhân viên IT phải nhờ đến các bên trung gian để giúp họ truy cập các nền tảng mà họ có thể xin việc từ xa,” Microsoft cho biết. “Các bên trung gian này được các nhân viên IT sử dụng để tạo hồ sơ trên các trang web việc làm tự do.”
Điều này bao gồm việc tạo các hồ sơ giả và portfolio trên các nền tảng như GitHub và LinkedIn để giao tiếp với các nhà tuyển dụng và xin việc.
Trong một số trường hợp, họ cũng đã sử dụng công cụ AI như Faceswap để chỉnh sửa ảnh và tài liệu đánh cắp từ nạn nhân hoặc làm chúng trông như được chụp trong bối cảnh chuyên nghiệp. Những bức ảnh này sau đó được sử dụng trong sơ yếu lý lịch hoặc hồ sơ, đôi khi cho nhiều nhân vật khác nhau, và được gửi đi xin việc.
“Các nhân viên IT của Triều Tiên cũng đang thử nghiệm với các công nghệ AI khác như phần mềm thay đổi giọng nói,” Microsoft cho biết.
“Các nhân viên IT của Triều Tiên có vẻ rất tổ chức khi theo dõi các khoản thanh toán nhận được. Nhìn chung, họ đã kiếm được ít nhất 370.000 USD thông qua các nỗ lực của mình.”
Chuyển ngữ: ChatGPT, Quốc Bảo hiệu đính
Nguồn: https://thehackernews.com/2024/11/north-korean-hackers-steal-10m-with-ai.html