Vyšetřování vedené Maurem Eldritchem, zakladatelem BCA LTD, provedené společně s iniciativou NorthScan a ANY.RUN, odhalilo jedno z nejpersistentnějších infiltračních schémat Severní Koreje: síť vzdálených IT pracovníků napojených na divizi Famous Chollima skupiny Lazarus Group.
Poprvé se výzkumníkům podařilo sledovat operátory při práci naživo a zachytit jejich aktivitu na tom, co považovali za skutečné vývojářské notebooky. Stroje však byly plně kontrolovanými, dlouhodobě běžícími sandboxovými prostředími vytvořenými společností ANY.RUN.
Příprava: Nechte se naverbovat, pak je pusťte dovnitř
Operace začala, když Heiner García z NorthScan předstíral amerického vývojáře, na kterého cílil náborář Lazarus používající alias „Aaron“ (také známý jako „Blaze“).
Blaze se vydával za „business“ zabývající se zprostředkováním práce a pokusil se najmout falešného vývojáře jako předsunutou osobu – známou taktiku Chollima používanou k propašování severokorejských IT pracovníků do západních společností, především v sektorech financí, kryptoměn, zdravotnictví a inženýrství.
Proces pohovorů následoval známý vzorec:
ukrást nebo vypůjčit identitu,
projít pohovory s nástroji AI a sdílenými odpověďmi,
pracovat na dálku přes notebook oběti,
převádět plat zpět do KLDR.
Jakmile Blaze požádal o plný přístup, včetně SSN, ID, LinkedInu, Gmailu a 24/7 dostupnosti notebooku, tým přešel do druhé fáze.
Past: „Farma notebooků“, která nebyla skutečná
Místo použití skutečného notebooku nasadil Mauro Eldritch z BCA LTD virtuální stroje ANY.RUN Sandbox, z nichž každý byl nakonfigurován tak, aby připomínal plně aktivní osobní pracovní stanici s historií používání, vývojářskými nástroji a směrováním přes americké rezidenční proxy.
Tým mohl také vynutit pády systému, omezit konektivitu a pořizovat snímky každého pohybu bez upozornění operátorů.
Co našli uvnitř sady nástrojů Famous Chollima
Sandboxové relace odhalily štíhlou, ale efektivní sadu nástrojů vytvořenou pro převzetí identity a vzdálený přístup spíše než pro nasazení malwaru. Jakmile se jejich profil Chrome synchronizoval, operátoři načetli:
Nástroje pro automatizaci práce řízené AI (Simplify Copilot, AiApply, Final Round AI) pro automatické vyplňování žádostí a generování odpovědí na pohovory.
Generátory OTP založené na prohlížeči (OTP.ee / Authenticator.cc) pro zpracování 2FA obětí po shromáždění dokladů totožnosti.
Google Remote Desktop, nakonfigurovaný přes PowerShell s pevným PINem, poskytující trvalou kontrolu nad hostitelem.
Rutinní průzkum systému (dxdiag, systeminfo, whoami) k ověření hardwaru a prostředí.
Připojení konzistentně směrovaná přes Astrill VPN, vzorec spojený s předchozí infrastrukturou Lazarus.
V jedné relaci operátor dokonce zanechal zprávu v Notepadu s žádostí, aby „vývojář“ nahrál své ID, SSN a bankovní údaje, což potvrdilo cíl operace: úplné převzetí identity a pracovní stanice bez nasazení jediného kusu malwaru.
Varování pro společnosti a náborové týmy
Vzdálený nábor se stal tichým, ale spolehlivým vstupním bodem pro hrozby založené na identitě. Útočníci se často dostávají do vaší organizace tím, že cílí na jednotlivé zaměstnance se zdánlivě legitimními žádostmi o pohovor. Jakmile se dostanou dovnitř, riziko jde daleko za jeden kompromitovaný pracovník. Infiltrátor může získat přístup k interním dashboardům, citlivým obchodním datům a účtům na úrovni manažerů, které mají skutečný operační dopad.
Zvyšování povědomí uvnitř společnosti a poskytnutí týmům bezpečného místa pro kontrolu čehokoli podezřelého může být rozdílem mezi včasným zastavením přístupu a řešením plnohodnotného interního kompromisu později.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
