北韓特工在安全研究人員將他們誘騙進入一台設有陷阱的「開發者筆記型電腦」後,被現場攝影機拍攝到,記錄了與拉撒路集團有關的團隊如何利用合法的 AI 招聘工具和雲端服務,試圖融入美國加密貨幣工作管道。
據報導,這種國家支持的網路犯罪演變被 BCA LTD、NorthScan 和惡意軟體分析平台 ANY.RUN 的研究人員即時捕捉到。
抓獲北韓攻擊者
Hacker News 分享了在一次協調的誘捕行動中,團隊如何部署了一個「蜜罐」,這是一個偽裝成合法開發者筆記型電腦的監控環境,用來引誘拉撒路集團。
所獲得的影片為業界提供了迄今最清晰的視角,展示北韓單位,特別是著名的千里馬部門,如何通過簡單地被目標的人力資源部門聘用來繞過傳統防火牆。
行動始於研究人員創建了一個開發者角色,並接受了一位名為「Aaron」的招聘人員別名的面試請求。招聘人員沒有部署標準的惡意軟體,而是引導目標進入 Web3 領域常見的遠程工作安排。
當研究人員授予「筆記型電腦」訪問權限時,這實際上是一台經過嚴密監控的虛擬機器,設計用來模仿美國工作站,特工們並沒有嘗試利用代碼漏洞。
相反,他們專注於建立自己作為看似模範員工的存在。
建立信任
一旦進入受控環境,特工們展示了一個優化的工作流程,目的是融入而非闖入。
他們利用合法的工作自動化軟體,包括 Simplify Copilot 和 AiApply,大規模生成精心製作的面試回應並填寫申請表格。
這種西方生產力工具的使用突顯了一個令人不安的升級,表明國家行為者正在利用那些旨在簡化企業招聘的 AI 技術來擊敗它們。
調查揭示,攻擊者通過 Astrill VPN 路由他們的流量來隱藏位置,並使用基於瀏覽器的服務處理與被盜身份相關的雙因素認證碼。
最終目標不是立即破壞,而是長期訪問。特工們通過 PowerShell 配置了 Google Remote Desktop,設置了固定的 PIN 碼,確保即使主機試圖撤銷權限,他們仍能保持對機器的控制。
因此,他們的命令是管理性的,運行系統診斷來驗證硬體。
本質上,他們並不是試圖立即破解錢包。
相反,北韓人尋求將自己建立為受信任的內部人員,為自己定位以訪問內部存儲庫和雲端儀表板。
十億美元的收入來源
這一事件是更大型產業複合體的一部分,該複合體已將就業詐騙轉變為受制裁政權的主要收入來源。
多邊制裁監測小組最近估計,與平壤有關的團體在 2024 年至 2025 年 9 月期間竊取了約 28.3 億美元的數位資產。
這一數字約佔北韓外匯收入的三分之一,表明網路盜竊已成為一種主權經濟戰略。
這種「人層」攻擊向量的有效性在 2025 年 2 月 Bybit 交易所遭到入侵時得到了毀滅性的證明。
在那次事件中,歸因於 TraderTraitor 集團的攻擊者使用被盜的內部憑證將外部轉賬偽裝成內部資產移動,最終獲得了冷錢包智能合約的控制權。
合規危機
向社會工程學的轉變為數位資產行業創造了嚴重的責任危機。
今年早些時候,Huntress 和 Silent Push 等安全公司記錄了一些前台公司的網絡,包括 BlockNovas 和 SoftGlide,這些公司擁有有效的美國公司註冊和可信的 LinkedIn 資料。
這些實體成功地誘導開發人員在技術評估的幌子下安裝惡意腳本。
對於合規官員和首席信息安全官來說,挑戰已經發生變異。傳統的了解你的客戶(KYC)協議專注於客戶,但拉撒路工作流程需要嚴格的「了解你的員工」標準。
司法部已經開始打擊,查獲了與這些 IT 計劃相關的 774 萬美元,但檢測滯後仍然很高。
正如 BCA LTD 誘捕行動所示,捕獲這些行為者的唯一方法可能是從被動防禦轉向主動欺騙,創建受控環境,迫使威脅行為者在獲得財政鑰匙之前暴露他們的手法。
來源:https://cryptoslate.com/secret-footage-from-a-rigged-laptop-exposes-how-north-korean-spies-are-slipping-past-your-security-team/
