朝鲜特工被现场拍摄到,这是在安全研究人员将他们引诱进入一个设有陷阱的"开发者笔记本电脑"之后,捕捉到与拉撒路组织有关的团队如何试图通过使用合法的人工智能招聘工具和云服务融入美国加密货币工作渠道。
据报道,这种国家支持的网络犯罪演变被BCA LTD、NorthScan和恶意软件分析平台ANY.RUN的研究人员实时捕捉到。
抓获朝鲜攻击者
黑客新闻分享了在一次协调的诱捕行动中,团队如何部署了一个"蜜罐",这是一个伪装成合法开发者笔记本电脑的监控环境,用来引诱拉撒路组织。
所得到的录像为行业提供了迄今为止最清晰的视角,展示朝鲜单位,特别是著名的千里马部门,如何通过简单地被目标的人力资源部门雇佣来绕过传统防火墙。
行动开始于研究人员创建了一个开发者角色并接受了一个名为"Aaron"的招聘人员别名的面试请求。招聘人员没有部署标准的恶意软件负载,而是将目标引导向Web3领域常见的远程就业安排。
当研究人员授予"笔记本电脑"访问权限时,这实际上是一个被严密监控的虚拟机,设计用来模仿美国工作站,特工们并没有尝试利用代码漏洞。
相反,他们专注于建立自己作为看似模范员工的存在。
建立信任
一旦进入受控环境,特工们展示了一个优化的工作流程,目的是融入而非闯入。
他们利用合法的求职自动化软件,包括Simplify Copilot和AiApply,生成精心制作的面试回答并大规模填写申请表格。
这种西方生产力工具的使用突显了一个令人不安的升级,表明国家行为者正在利用那些旨在简化企业招聘的人工智能技术来击败它们。
调查揭示,攻击者通过Astrill VPN路由他们的流量以掩盖位置,并使用基于浏览器的服务处理与被盗身份相关的双因素认证码。
最终目标不是立即破坏,而是长期访问。特工们通过PowerShell配置了Google远程桌面,设置了固定PIN码,确保即使主机试图撤销权限,他们也能保持对机器的控制。
因此,他们的命令是管理性的,运行系统诊断以验证硬件。
本质上,他们并不是试图立即破解钱包。
相反,朝鲜人寻求将自己确立为受信任的内部人员,为自己定位以访问内部存储库和云仪表板。
十亿美元收入流
这一事件是更大的工业综合体的一部分,该综合体已将就业欺诈转变为受制裁政权的主要收入驱动因素。
多边制裁监测小组最近估计,与平壤有关的组织在2024年至2025年9月期间窃取了约28.3亿美元的数字资产。
这一数字,约占朝鲜外汇收入的三分之一,表明网络盗窃已成为一种主权经济战略。
这种"人层"攻击载体的有效性在2025年2月Bybit交易所被入侵期间得到了毁灭性的证明。
在那次事件中,归因于TraderTraitor组织的攻击者使用被盗的内部凭证将外部转账伪装成内部资产移动,最终获得了冷钱包智能合约的控制权。
合规危机
向社会工程学的转变为数字资产行业创造了严重的责任危机。
今年早些时候,如Huntress和Silent Push等安全公司记录了前台公司网络,包括BlockNovas和SoftGlide,这些公司拥有有效的美国公司注册和可信的LinkedIn资料。
这些实体成功地诱导开发者在技术评估的幌子下安装恶意脚本。
对于合规官员和首席信息安全官来说,挑战已经发生变异。传统的了解你的客户(KYC)协议专注于客户,但拉撒路工作流程需要一个严格的"了解你的员工"标准。
司法部已经开始打击,查获了与这些IT计划相关的774万美元,但检测滞后仍然很高。
正如BCA LTD诱捕行动所示,捕获这些行为者的唯一方法可能是从被动防御转向主动欺骗,创建受控环境,迫使威胁行为者在获得财政钥匙之前暴露他们的手法。
来源:https://cryptoslate.com/secret-footage-from-a-rigged-laptop-exposes-how-north-korean-spies-are-slipping-past-your-security-team/
