網路行銷
加入我們的每日和每週通訊,以了解相關行業領先的人工智能報道的最新更新和獨家內容。
北韓民族國家攻擊者紛紛冒充求職者,將100多位秘密團隊成員安置在主要位於美國的航空航太、國防、零售和科技公司。
CrowdStrike 的2024 年威脅追蹤報告揭露了朝鮮-Nexus 對手著名的CHOLLIMA 如何利用偽造和被盜的身份文件,使惡意的民族國家攻擊者能夠作為遠程IT 人員獲得就業、竊取數據並在不被發現的情況下下進行間諜活動。
FAMOUS CHOLLIMA隸屬於北韓兩個先進的網路戰組織-北韓精銳武裝總局(RGB)和第75局,其專長是大規模持續實施內部威脅,非法獲得自由職業或全職同等(FTE)被管道的工資。
「著名的喬利馬活動中最令人震驚的方面是這種內部威脅的規模之大。CrowdStrike 通知了 100 多名受害者,其中主要來自在不知情的情況下僱用北韓特工的美國公司。
邁耶斯說:“這些人滲透到組織中,特別是在科技領域,不是為了攻擊,而是為了將竊取的資金直接注入該攻擊的武器計劃。”
北韓利用信任把握機會
邁耶斯在最近的 VentureBeat 採訪中指出:“北韓遠距離工作計劃活動的激增凸顯了對手如何利用我們遠距離工作環境的信任。”
北韓了解企業已將其IT團隊外部化標準化,以及美國、歐洲、澳洲和亞洲大陸的公眾輿論如何支持遠距工作,因此看到了利用缺乏驗證和安全性的機會。
有系統地針對100多家公司進行惡意內部人員滲透,然後篩選攻擊精英團隊的成員,加入FAMOUS CHOLLIMA團隊,領導內部人員攻擊,這是史無前例的。
「新冠疫情之後,最後入職成為常態,因此我們看到被盜的身份被用來通過安全檢查和尋找工作,然後被用來竊取數據或竊取資金。CrowdStrike 觀察到的案例中有 50% 用於資料外洩。
北韓內部威脅攻擊剖析
「許多人仍然低估北韓的網路能力,將其視為『隱士王國』。但自 1990 年代末以來,他們一直在投資網路人才,並從年輕時就將策略重點放在 STEM 教育上。最近「維護複雜的活動表明,它們不僅是一種威脅,而且是我們必須認真應對的複雜對手。我們只是破壞了它們業務的表面,」邁耶斯說。
從2023年開始,FAMOUS CHOLLIMA最初針對的是航空航天、國防、零售和科技領域的30家美國公司,據稱是申請遠距離IT職位的美國居民。角色相關的工作最少的任務,同時嘗試使用 Git、SharePoint 和 OneDrive 竊取資料。
惡意內部人員也快速安裝終端監控和管理(RMM)工具,包括RustDesk、AnyDesk、TinyPilot、VS Code Dev Tunnels和Google Chrome終端桌面,以在受感染的網路中保持持久性。能夠利用多個IP地址連接到受援者的系統,看上去合法並並正常的網路活動。發布警報。
CrowdStrike 的報告發現,組織發現對手使用RMM 工具的情況比去年同期增加了70%。威脅攻擊極為明顯。
2024年4月,CrowdStrike Services回應了FAMOUS CHOLLIMA惡意內部人員針對30多家美國公司的多起事件中的首次事件。
今年早些時候,針對北韓工作策劃和詐騙行為的舉報調查公佈中。美國的科技實體。
FBI、DOJ迅速採取行動,但大規模內部威脅仍將持續
今年5月16日,美國聯邦調查局(FBI)發布警報,警告美國企業「北韓正在透過針對困境企業非法為該赤字大量收入來逃避美國和未經制裁的製裁。」美國司法部(DoJ)對著名的喬利馬最近的事件影響了兩家美國人創建的筆記型電腦農場迅速採取了行動。
第一份起訴書於5月16日提交 發現一名南瓜州婦女使北韓能夠接觸到 300 家 IT 公司。不發現的情況下工作數月,欠缺的工資直接支付給北韓的武器計劃。
「上週,司法部逮捕了一名田納西州男子,他被指控經營筆記型電腦農場計劃,幫助財富500 強公司的北韓IT 員工獲得遠距離工作。這與CrowdStrike 追踪的著名CHOLLIMA 活動一致,」邁耶斯告訴VentureBeat。
VB日報
了解保持!
訂閱即表示您同意 VentureBeat 的服務條款。
感謝您的訂閱。
發生錯誤。