北韓特工在安全研究人員將他們引誘到一台設有陷阱的「開發者筆記型電腦」後被現場拍攝到,捕捉到與拉撒路組織有關的團隊如何利用合法的AI招聘工具和雲服務融入美國加密貨幣工作管道。
據報導,這種國家支持的網絡犯罪演變被BCA LTD、NorthScan和惡意軟件分析平台ANY.RUN的研究人員實時捕捉到。
抓獲北韓攻擊者
Hacker News分享了在一次協調的誘捕行動中,團隊如何部署了一個「蜜罐」,這是一個偽裝成合法開發者筆記型電腦的監控環境,用來引誘拉撒路組織。
所得到的影像為業界提供了迄今為止最清晰的視角,展示北韓單位,特別是著名的千里馬部門,如何通過簡單地被目標的人力資源部門聘用來繞過傳統防火牆。
行動始於研究人員創建了一個開發者角色並接受了一個名為「Aaron」的招聘人員別名的面試請求。招聘人員沒有部署標準的惡意軟件,而是將目標引導向Web3領域常見的遠程就業安排。
當研究人員授予「筆記型電腦」訪問權限時,這實際上是一台被嚴密監控的虛擬機器,設計用來模仿美國工作站,特工們並沒有嘗試利用代碼漏洞。
相反,他們專注於建立自己作為看似模範員工的存在。
建立信任
一旦進入受控環境,特工們展示了一個優化的工作流程,旨在融入而非闖入。
他們利用合法的求職自動化軟件,包括Simplify Copilot和AiApply,生成精心準備的面試回答並大規模填寫申請表格。
這種西方生產力工具的使用突顯了一個令人不安的升級,表明國家行為者正在利用那些旨在簡化企業招聘的AI技術來擊敗它們。
調查揭示,攻擊者通過Astrill VPN路由他們的流量以掩蓋位置,並使用基於瀏覽器的服務處理與被盜身份相關的雙因素認證碼。
最終目標不是立即破壞,而是長期訪問。特工們通過PowerShell配置了Google遠程桌面,設置了固定PIN碼,確保即使主機試圖撤銷權限,他們也能保持對機器的控制。
因此,他們的命令是管理性的,運行系統診斷以驗證硬件。
本質上,他們並不是試圖立即破解錢包。
相反,北韓人尋求將自己確立為受信任的內部人員,為自己定位以訪問內部存儲庫和雲儀表板。
十億美元收入流
這一事件是更大產業複合體的一部分,該複合體已將就業欺詐轉變為受制裁政權的主要收入來源。
多邊制裁監測小組最近估計,與平壤有關的組織在2024年至2025年9月期間竊取了約28.3億美元的數字資產。
這一數字約佔北韓外匯收入的三分之一,表明網絡盜竊已成為一種主權經濟戰略。
這種「人層」攻擊向量的有效性在2025年2月Bybit交易所被入侵期間得到了毀滅性的證明。
在那次事件中,歸因於TraderTraitor組織的攻擊者使用被盜的內部憑證將外部轉賬偽裝成內部資產移動,最終獲得了冷錢包智能合約的控制權。
合規危機
向社會工程學的轉變為數字資產行業創造了嚴重的責任危機。
今年早些時候,Huntress和Silent Push等安全公司記錄了一系列前台公司的網絡,包括BlockNovas和SoftGlide,這些公司擁有有效的美國公司註冊和可信的LinkedIn資料。
這些實體成功地誘導開發者在技術評估的幌子下安裝惡意腳本。
對於合規官員和首席信息安全官來說,挑戰已經發生變異。傳統的了解你的客戶(KYC)協議專注於客戶,但拉撒路工作流程需要一個嚴格的「了解你的員工」標準。
司法部已經開始打擊,查獲了與這些IT計劃相關的774萬美元,但檢測滯後仍然很高。
正如BCA LTD誘捕行動所示,捕獲這些行為者的唯一方法可能是從被動防禦轉向主動欺騙,創建受控環境,迫使威脅行為者在獲得財政鑰匙之前揭露他們的手法。
來源:https://cryptoslate.com/secret-footage-from-a-rigged-laptop-exposes-how-north-korean-spies-are-slipping-past-your-security-team/
