尽管最早有记录显示提到朝鲜 IT 工作者来自 2018 年 OFAC 制裁,但 Unit 42 的 2023 年报告进行了更详细的说明,并确定了两个不同的威胁行为者:Contagious Interview 和 Wagemole 。
据悉,Contagious Interview 会冒充知名公司的招聘人员,诱骗开发人员参与虚假的面试流程。随后,潜在候选人被指示克隆一个存储库进行本地调试,表面上是作为编码挑战,但实际上该存储库包含一个后门,执行后门会将受影响机器的控制权交给攻击者。该活动一直在进行中,最近一次记录是在 2024 年 8 月 11 日。
另一方面,Wagemole 特工的主要目标不是雇佣潜在受害者,而是被公司雇佣,在那里他们只是像普通工程师一样工作,尽管效率可能不高。话虽如此,有记录显示 IT 工作者利用他们的访问权限进行攻击,例如在 Munchables 事件中,一名与朝鲜活动有关联的员工利用他们对智能合约的特权访问权限窃取了所有资产。
Wagemole 特工的复杂程度各不相同,从千篇一律的简历模板和不愿参加视频通话,到高度定制的简历、深度伪造的视频面试以及驾驶执照和水电费账单等身份证明文件。在某些情况下,特工在受害组织中潜伏长达一年,然后利用他们的访问权限入侵其他系统和 / 或完全套现。
苹果耶稣(AppleJeus)AppleJeus 主要专注于传播恶意软件,擅长进行复杂的供应链攻击。2023 年,3CX 供应链攻击使攻击者有可能感染 3CX VoIP 软件的 12 1200 多万用户,但后来发现 3CX 本身也受到了影响其上游供应商之一 Trading Technologies 13 的供应链攻击的攻击。
在加密货币行业,AppleJeus 最初通过分发包装成合法软件(例如交易软件或加密货币钱包)的恶意软件。然而,随着时间的推移,他们的策略发生了变化。2024 年 10 月,Radiant Capital 被一名冒充可信承包商的威胁行为者通过 Telegram 发送的恶意软件攻陷,Mandiant 将其归咎于 AppleJeus 。
危险密码(Dangerous Password)Dangerous Password 负责对加密货币行业进行低复杂度的基于社会工程学的攻击。早在 2019 年,JPCERT/CC 就记录了 Dangerous Password 会发送带有诱人附件的钓鱼电子邮件供用户下载。前几年,Dangerous Password 负责冒充行业知名人士发送钓鱼电子邮件,主题为「稳定币和加密资产风险巨大」。
如今,Dangerous Password 仍在发送钓鱼邮件,但也已扩展到其他平台。例如,Radiant Capital 报告称,他们通过 Telegram 收到一条钓鱼消息,该消息来自冒充安全研究人员的人,该人分发了一个名为「Penpie_Hacking_Analysis_Report.zip」的文件。此外,用户报告称,有人冒充记者和投资者联系他们,要求使用一个不起眼的视频会议应用安排通话。与 Zoom 一样,这些应用程序会下载一次性安装程序,但运行时会将恶意软件安装在设备上。