与中国空壳公司关联的北朝鲜IT工人诈骗 媒体
北朝鲜IT工人欺诈模式的新进展
关键要点
北朝鲜的IT工人欺诈计划与中国的前台公司网络有关。恶意行为者通过假冒合法的美国公司来获取信任和敏感合同。该方案反映了北朝鲜为躲避制裁和资助武器项目而采纳的一种新策略。近日,关于 北朝鲜IT工人欺诈计划 的新进展引起了人们的关注。2023年11月21日,有报告称10月10日被美国政府查封的四家公司,实际上是来源于一个更广泛的中国前台公司网络。根据 SentinelLabs 的研究人员在博客中的说法,此次报告的特别之处在于其与中国的关联,以及这些威胁行为者以伪装的公司身份而非单一身份出现的能力,还有发现了四家之前未被报道的前台公司。
“通过假冒合法的美国软件和技术咨询公司,北朝鲜行为者旨在获得信任,获取关键合同,绕过制裁并避免被检测,”SentinelLabs的研究人员表示。“这些策略凸显了其利用全球数字经济资助国家活动,包括武器开发的刻意和不断演变的策略。”
在2023年10月,美国政府查封了17个网站,这些网站让北朝鲜的IT工人在全球申请远程工作时能够隐藏真实身份。最引人注目的是,知名安全公司 KnowBe4 成为该计划的受害者之一。
“SentinelOne描述的近期活动代表了一种进化,而不是朝鲜IT工人计划中的根本新策略,呈现出从假冒个人到模仿整个公司的转变,” Critical Start 的网络威胁研究高级经理 Callie Guenther 表示。“这种方法涉及创建克隆网站并复制合法美国软件和咨询公司的品牌,以获得合同并掩盖工人的真实来源。与之前的活动不同,比如针对KnowBe4的攻击,即涉及伪造个人身份进行单独就业,此战略则瞄准更大规模的外包机会,可能带来更大的收入和运营掩护。”
Guenther还指出,北朝鲜行为者正在通过在中国、俄罗斯、东南亚和非洲等地的前台公司来管理支付,以隐藏他们与北朝鲜政权的关联。这些公司在更广泛的方案中起到了关键作用,该方案也被 Palo Altos Unit42 追踪为 Wagemole。
“通过假冒组织而不是个人,这些行为者目的是显得更为合法,并确保获得更大财务回报的合同,”Guenther说。“此活动支持北朝鲜躲避制裁并资助其大规模杀伤性武器和弹道导弹项目的努力。”
此方案展示了一种战术的演变,威胁行为者正在创建整个虚假公司,而不仅仅是个别身份,使他们能够建立更深的可信度,并可能同时渗透多个组织, SlashNext Email Security 的现场首席技术官 Stephen Kowski 说。
鲸鱼加速器苹果版
“在中国和东南亚等地区创建复杂的前台公司,展示了他们掩盖来源和管理金融交易能力的日益复杂性,”Kowski表示。“这种方法建立在先前的战术之上,但显示了威胁行为者如何调整其方法,以绕过传统的身份验证流程和安全控制。”
如需了解更多有关北朝鲜网络活动的信息,可以访问 SentinelLabs。
