Perusahaan keamanan siber Amerika KnowBe4 mengatakan seseorang yang baru-baru ini mereka pekerjakan sebagai Kepala Insinyur Perangkat Lunak ternyata adalah aktor negara Korea Utara yang mencoba memasang pencurian informasi di perangkatnya.
Perusahaan tersebut mendeteksi dan menghentikan tindakan jahat tersebut tepat waktu, sehingga tidak terjadi pelanggaran data. Namun, kasus tersebut menyoroti ancaman berkelanjutan yang ditimbulkan oleh aktor ancaman Korea Utara. menyamar sebagai staf ITsesuatu yang FBI telah memperingatkan tentang berkali-kali sejak 2023
DPRK mempertahankan tentara yang sangat terorganisir pekerja IT yang menyembunyikan identitas asli mereka untuk mendapatkan dipekerjakan oleh ratusan perusahaan Amerika.
Pendapatan yang dihasilkan oleh para pekerja ini digunakan untuk mendanai program persenjataan dan operasi siber negara, serta untuk mengumpulkan intelijen.
Penyamaran dengan bantuan AI
Sebelum mempekerjakan pelaku ancaman, KnowBe4 melakukan pemeriksaan latar belakang, memverifikasi referensi yang diberikan, dan melakukan empat wawancara video untuk memastikan bahwa mereka adalah orang sungguhan dan wajahnya cocok dengan yang ada di CV-nya.
Namun, kemudian diketahui bahwa orang tersebut telah menyerahkan identitas curian milik warga AS untuk menghindari pemeriksaan awal, dan juga menggunakan alat AI untuk membuat gambar profil dan mencocokkan wajah tersebut selama panggilan konferensi video.
KnowBe4, yang mengkhususkan diri dalam pelatihan kesadaran keamanan dan simulasi phishing, menduga ada yang tidak beres pada tanggal 15 Juli 2024, ketika produk EDR-nya melaporkan upaya memuat malware dari stasiun kerja Mac yang baru saja dikirim ke karyawan baru tersebut.
Seorang juru bicara KnowBe4 mengatakan kepada BleepingComputer bahwa malware tersebut adalah pencuri informasi yang menyasar data yang disimpan di peramban web, dan bahwa karyawan nakal tersebut kemungkinan berharap untuk mengekstrak informasi yang tertinggal di komputer sebelum ditugaskan kepadanya.
“Penyerang mungkin [haveused] “ini untuk menemukan kredensial apa pun yang tersisa dari sesi penelusuran sebelumnya sebagai hasil dari proses penyediaan awal departemen TI atau untuk mengekstrak informasi yang tersisa dari laptop yang tidak lengkap atau tidak dihapus dengan benar yang sebelumnya diberikan kepada karyawan lain.” kata juru bicara KnowBe4 kepada BleepingComputer.
Ketika dihadapkan dengan staf IT perusahaan tentang aktivitas tersebut, aktor negara awalnya memberikan alasan tetapi segera menghentikan semua komunikasi.
“Saat peringatan ini muncul, tim SOC KnowBe4 menghubungi pengguna untuk menanyakan tentang aktivitas yang tidak lazim dan kemungkinan penyebabnya. XXXX (pelaku ancaman) menanggapi SOC bahwa ia mengikuti langkah-langkah pada panduan routernya untuk memecahkan masalah kecepatan dan hal itu mungkin telah menyebabkan kompromi.
Penyerang melakukan berbagai tindakan untuk memanipulasi berkas riwayat sesi, mentransfer berkas yang berpotensi membahayakan, dan menjalankan perangkat lunak yang tidak sah. Ia menggunakan Raspberry Pi untuk mengunduh malware. SOC berupaya mendapatkan informasi lebih lanjut dari XXXX termasuk mengajaknya melakukan panggilan telepon. XXXX menyatakan bahwa ia tidak dapat dihubungi dan kemudian tidak dapat merespons.
❖ TahuBe4
A posting oleh CEO KnowBe4 Stu Sjouwerman menjelaskan bahwa skema tersebut melibatkan penipuan terhadap pemberi kerja agar mengirim stasiun kerja ke “perternakan laptop IT” yang berlokasi dekat dengan lokasi yang dicantumkan penipu sebagai alamat rumah mereka dalam lamaran kerja mereka.
Lalu mereka menggunakan VPN untuk terhubung ke perangkat itu pada malam hari, sehingga tampak seolah-olah mereka bekerja di waktu AS, dan menjalankan tugas yang diberikan kepada mereka seperti biasa.
Untuk mengurangi risiko ini, KnowBe4 menyarankan agar perusahaan menyediakan kotak pasir bagi karyawan baru yang terisolasi dari bagian jaringan mereka yang paling penting.
Perusahaan juga mengatakan untuk memastikan perangkat eksternal karyawan baru tidak digunakan dari jarak jauh dan memperlakukan ketidakkonsistenan alamat pengiriman sebagai tanda bahaya.
