針對北韓駭客以IT工作者的身分在北美與歐洲謀取遠距工作的情況,過往大多都是美國政府破獲筆電農場(Laptop Farm),或是逮捕協助犯案的人士,從起訴書公布調查結果,也有曾經不慎僱用的資安公司,揭露駭客如何騙過人資部門審核,以及後來如何察覺異狀,不過,這些駭客獲得工作後會從事那些行為?從上述公布的資訊很難得知具體細節。有研究人員特別透過沙箱環境,得以觀察他們的一舉一動。
威脅情報公司BCA LTD及NorthScan聯手,調查北韓駭客Lazarus旗下團體Famous Chollima(也被稱作WageMole、UNC5267、Nickel Tapestry)最新一波攻擊活動,當時他們發現,這些駭客試圖透過GitHub垃圾訊息、Telegram,以及假的求職平臺等管道,先對想要應徵開發人員或工程師職務的開發人員下手,然後借用這些開發人員的真實身分向歐美企業應徵職缺。由於這樣的情況相當不尋常,他們與雲端沙箱公司Any.Run合作,假冒開發人員應徵,然後引誘駭客存取Any.Run的沙箱環境,觀察他們的行為。
具體而言,他們偽裝成位於美國的開發者,並由Any.Run提供特製的互動式沙箱環境,建立虛擬工作站,擁有完整的使用記錄、開發工具,並且透過美國代理伺服器(Residential Proxy)進行路由,使得這些沙箱看起來就像遠端辦公的電腦。
兩家威脅情報公司的研究人員看到駭客在GitHub儲存庫發送的垃圾訊息,駭客聲稱在美國經營求職公司,他們看過GitHub用戶的個人檔案及LinkedIn資料,發現用戶有美國公司合作的經驗。駭客表明平均會一天有4場面試,需要有人代表他參加,希望開發人員能夠協助,開發人員必須參與面試,不過駭客會從中協助回答相關問題,若是成功錄取,他們有5位具有經驗的開發團隊負責技術工作,他們將與開發人員平分薪資所得,號稱開發人員能每月得到約3千美元。
研究人員假扮一名位於美國的新手工程師,根據上述Famous Chollima張貼的求才訊息「應徵」,駭客要求能透過AnyDesk全天候存取研究人員的筆電,進行遠端工作,駭客要求能透過AnyDesk全天候存取研究人員的筆電,進行遠端工作,研究人員假裝是涉世未深的開發人員,使得對方必須下達更加詳細、清楚的指示,說明冒用身分的意圖。這麼做的目的,就是藉由針對性的問題,來收集更多的資訊。
駭客存取研究人員的LinkedIn帳號找工作,並鎖定IT、金融科技、電子商務,以及醫療保健領域。
成功取得職務後,研究人員將駭客引導到Any.Run提供的「工作筆電」環境,並藉由對環境的掌控,對駭客的一舉一動進行觀察,並避免他們從事實際的破壞行為。 駭客在成功透過AnyDesk存取工作環境後,首先使用DxDiag檢查系統環境,以及電腦所在的地理位置,並將Chrome設為預設瀏覽器。根據駭客連線的IP位址等資訊,發現對方使用了Astrill VPN,而這正是北韓駭客偏好的工具。後續研究人員製造當機的現象,避免駭客從事真正的惡意行為。
接著研究人員藉故更換另一臺「筆電」,駭客重覆上述動作,檢查電腦的地理位置,並將Chrome設為預設瀏覽器,不過,這次他遇到無法通過動態密碼驗證的情況,並透過記事本留下訊息,要求研究人員將所有文件和資料給他,才能進行相關「工作」。
後續再度發生當機的情況,電腦恢復到上一個系統還原點的狀態,研究人員開始向對方施壓,質問駭客到底做了什麼,造成電腦出現藍色當機(BSOD),懷疑是否使用了奇怪的VPN或是設定錯誤造成。研究人員藉由提供不完整的資料,讓駭客陷入近一個小時的驗證碼循環,從中收集入侵指標並分析行為模式。
雖然他們只有與一名駭客交涉,但後續竟然有另一個帳號登入同一個環境,研究人員推測,可能是駭客打算將工作交給同夥接手。
在經過一番往來之後,駭客終於成功登入自己的Google帳號,並透過同步功能將個人設定與延伸套件載入Chrome,使得研究人員能夠掌握Famous Challima使用的工具組(Chrome延伸套件),包括:自動填寫求職表單工具Simplify Copilot、自動職缺尋找工具AiApply、即時面試問題回答工具Final Round AI、記錄大型語言模型提示的Saved Prompts for GPT,以及動態密碼延伸套件OTP.ee與Authenticator.cc。此外,這些駭客使用命令列與PowerShell設定筆電的組態,設置PIN碼為123456,然後檢視自己的電子郵件信箱。
究竟駭客利用開發人員的筆電從事哪些行為,研究人員根據信箱內容發現,駭客訂閱多個求職平臺的職缺資訊,並存取多個Slack工作區與其他合作人士進行通訊,其中一名可能是穆斯林,因為對方表明會因為開齋節或其他穆斯林節慶外出。
這段過程還出現另一個插曲,駭客找來同夥的原因,其實是研究人員從另一個層面向他施壓,宣稱已有另一個北韓駭客Ralph開出更好的條件,而且看起來真正熱衷工作不會造成麻煩。沒想到駭客認為,Ralph很可能就是造成他的個人資料被封鎖、密碼被竄改的元兇。駭客找來同夥,從而讓研究人員確認他們共用基礎設施與資產的情況,不同團隊之間未有溝通協調,原因是對於駭客來說,從另一個招募團隊搶走工程師似乎是常態。另一個沒有互相協調的證據,是研究人員看到多組北韓駭客在同一天對相同職缺進行面試。
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2026-01-02