朝鲜黑客利用欺诈性IT员工入侵西方公司，窃取敏感数据并勒索赎金。了解如何识别这些欺骗性策略并保护您的组织免受这种日益严重的威胁。Secureworks揭示了朝鲜威胁组织NICKEL TAPESTRY采用的最新策略。

网络安全公司Secureworks最近发布的一份报告揭露了朝鲜黑客使用的一种令人不安但并不新鲜的策略。他们冒充合法 IT 工作者入侵西方公司，窃取敏感数据，然后索要赎金。

该计划的幕后策划者是一个名为Nickel Tapestry的朝鲜黑客组织。该组织通过“笔记本电脑农场”进行操作，利用窃取或伪造的身份欺骗美国、英国和澳大利亚各地公司的人力资源部门。他们经常申请开发人员职位，利用各种策略来逃避和隐藏他们的身份/位置。

例如，他们要求更改公司笔记本电脑的送货地址，通常会将其重新路由到笔记本电脑农场，有时他们强烈倾向于使用个人笔记本电脑和虚拟桌面基础设施(VDI)设置，这是FBI之前警告过的一种策略。这使他们能够远程访问公司网络而不留下任何痕迹。

此外，他们还经常表现出“可疑的金融行为”，例如频繁更改银行账户信息或利用数字支付服务绕过传统银行系统。

此外，该团伙还使用住宅代理地址和VPN来掩盖其实际IP地址。他们还在视频通话期间使用“Splitcam”软件来模拟视频通话，通过创建自己的假AI克隆来避免启用网络摄像头。

在一个案例中，一名假冒员工进入了一家公司的网络，窃取了敏感数据，然后——在因表现不佳而被解雇后——要求支付六位数的赎金才能归还数据。这种勒索行为大大增加了这些攻击造成的潜在经济损失。

Secureworks 反威胁部门研究团队在报告中写道：“勒索要求的出现标志着NICKEL TAPESTRY计划与之前的计划明显不同。然而，勒索之前观察到的活动与之前涉及朝鲜工人的计划一致。”

也许最令人不安的是这些假员工之间相互勾结的证据。他们可能互相提供虚假的推荐信，代表对方履行工作职责，甚至伪装成不同的人通过电子邮件进行交流。在一个案例中，研究人员认为，一个人可能采用了多个身份来进一步实施诈骗。

这种IT工作者骗局并不新鲜。自2018年以来就出现了类似的手段，欺诈性工作者在财富100强公司获得职位，并将窃取的知识产权汇回朝鲜，以资助包括大规模杀伤性武器在内的武器计划。

2022年5月，美国政府 警告各组织警惕以IT自由职业者为幌子的朝鲜黑客，这些黑客自称不是朝鲜民主主义人民共和国国民。

2024年7月，朝鲜黑客又尝试了一次虚假招聘计划，这次的目标是美国一家著名的网络安全公司KnowBe4。在这起案件中，一名黑客假扮为IT工作者，并成功获得该公司的职位。攻击的下一步是在公司发放的MacBook上安装恶意软件，意图破坏KnowBe4的系统。

公司如何保护自己免受这种不断演变的威胁？Secureworks建议对候选人进行彻底的背景调查和身份核实。研究人员认为，候选人的工作特征，例如申请全栈开发人员职位、声称拥有8-10年经验以及拥有初级到中级英语技能，是最大的危险信号。

此外，不寻常的沟通时间、不同的沟通风格、采访期间不启用摄像头的借口以及类似呼叫中心的语气都应该引起进一步调查。