文章总结： 微软研究发现朝鲜JasperSleet组织利用窃取身份和AI技术渗透企业招聘流程，攻击分为职位侦察、面试沟通和入职操作三阶段。文档提供了基于WorkdayAPI异常访问、跨平台通信追踪和新员工行为异常的KQL检测方案，建议启用Defender连接器、多源遥测关联及新员工监控等防御措施。 综合评分： 85 文章分类： 威胁情报,渗透测试,红队,安全运营,安全意识

微软深度解析：如何检测渗透进企业的朝鲜IT工人

bitbot bitbot

Desync InfoSec

2026年4月23日 12:01 北京

在小说阅读器读本章

去阅读

疫情后远程和混合办公模式的普及，极大地扩展了全球招聘范围并加速了数字化入职流程，但同时也为威胁行为者打开了新的攻击窗口。微软最新研究揭示了朝鲜关联的 Jasper Sleet 组织如何利用窃取或伪造的身份，配合 AI 辅助欺骗技术，将自己”安插”进企业内部。

本文详细解析攻击全链路，并提供可直接部署的 KQL 检测查询，帮助安全团队在招聘流程的各个阶段识别和阻断此类威胁。

────────────────

一、攻击链总览：从求职到渗透的三阶段模型

Jasper Sleet 的攻击活动遵循一个清晰的三阶段模型：利用常规 HR 工作流（如外部招聘网站）进行职位发现和申请，成功通过面试后完成入职，最终获取合法的企业内部访问权限。

值得注意的是，这些攻击者利用生成式 AI 大规模分析职位描述，提取角色特定的语言、所需技能和工具要求，然后构建高度逼真的虚假数字身份，显著提高了通过筛选和面试的概率。

图 1：招聘各阶段事件时间线

────────────────

二、招聘前阶段：利用 Workday API 进行职位侦察

微软观察到 Jasper Sleet 从已知攻击基础设施和邮箱账户，访问通过外部招聘网站暴露的 Workday Recruiting Web Service API 端点，进行职位发现和招聘流程侦察。

这些 API 用于连接外部招聘网站，允许求职者浏览和申请职位。攻击者利用 OAuth 客户端和 Token 访问以下端点：

• hrrecruiting/accounts/* — 账户信息 • hrrecruiting/jobApplicationPackages/* — 申请包 • hrrecruiting/validateJobApplication/* — 申请验证 • hrrecruiting/resumes/* — 简历数据

虽然这些 API 调用也可能来自合法求职者，但关键异常在于：Jasper Sleet 使用多个外部账户以一致的重复模式访问相同的 API 调用，这一行为模式与正常求职者显著不同。

图 2：外部账户访问 Workday 实例 hrrecruiting API 端点的事件样例

🔍 检测查询 1：外部用户访问 Workday Recruiting API

let api_endpoint_regex = ‘hrrecruiting/*’; CloudAppEvents | where Application == ‘Workday’ | where IsExternalUser | where ActionType matches regex api_endpoint_regex | where IPAddress in () or AccountId in () | summarize make_set(ActionType) by AccountId, IPAddress, bin(Timestamp, 1d)

────────────────

三、面试阶段：跨平台通信追踪

在面试阶段，攻击者通过电子邮件、Microsoft Teams、Zoom 或 Cisco Webex 与目标公司的招聘团队沟通。Defender 的高级搜寻表可追踪来自可疑 IP 地址或邮箱的外部通信。

此外，Defender for Cloud Apps 的 DocuSign 连接器可监控与录用文件签署相关的活动，识别来自可疑外部来源的 offer 签署行为。

🔍 检测查询 2：面试相关的邮件和 Teams 通信

// 邮件通信检测 EmailEvents | where SenderMailFromAddress == “” or RecipientEmailAddress == “” | where Subject has “Interview” | project Timestamp, SenderMailFromAddress, SenderDisplayName, SenderIPv4, RecipientEmailAddress, Subject, DeliveryAction // Microsoft Teams 通信检测 CloudAppEvents | where Application == “Microsoft Teams” | where IsExternalUser | where IPAddress == “” | summarize make_set(ActionType) by IPAddress, AccountId, bin(Timestamp, 1d)

────────────────

四、入职后阶段：合法权限下的隐秘操作

一旦被录用，攻击者获得合法的组织账户，可以访问 Teams、SharePoint、OneDrive 和 Exchange Online 等内部 SaaS 应用。微软观察到以下关键异常：

⚠ 关键告警信号 • 新员工从已知 Jasper Sleet 基础设施登录并设置薪资账户 • 入职前两个月出现大量不可能旅行 (Impossible Travel) 告警 • 通过匿名代理从不同位置访问组织数据 • 对 M365 套件执行异常的搜索和下载操作

图 3：新员工薪资账户变更操作事件

图 4：新员工入职前两个月频繁触发不可能旅行告警

🔍 检测查询 3：新员工薪资活动与基础设施关联

CloudAppEvents | where Application == “Workday” | where AccountId == “” | where ActionType has_any (“Add”, “Change”, “Assign”, “Create”, “Modify”) and ActionType has_any (“Account”, “Bank”, “Payment”, “Tax”) | where IPAddress in (““) | summarize make_set(ActionType) by IPAddress, bin(Timestamp, 1d)

────────────────

五、Microsoft Defender XDR 检测覆盖矩阵

| | | | | — | — | — | | 战术阶段 | 观察到的活动 | Defender 检测能力 | | 资源开发 | 访问外部 Workday 站点研究职位并提交申请 | Defender for Cloud Apps — Workday Recruiting 可疑活动 | | 资源开发 | 入职后从已知基础设施登录更新薪资信息 | Defender for Cloud Apps — Workday 薪资异常 | | 初始访问 | 新员工异常登录与资源访问 | Defender XDR — 不可能旅行 + 朝鲜实体登录检测 |

────────────────

六、防御建议

1. 启用 Defender for Cloud Apps 连接器 — 覆盖 Workday、DocuSign、Zoom、Cisco Webex，获取外部用户活动可见性。

2. 多源遥测关联 — 结合 HR 系统日志、身份认证日志和网络流量数据，交叉验证候选人的行为模式。

3. 威胁情报驱动 — 将 Jasper Sleet 已知基础设施（IP、邮箱域名）与招聘系统 API 调用进行匹配。

4. 新员工入职监控 — 重点监控前 90 天的不可能旅行告警、异常数据访问和薪资变更。

5. 安全意识培训 — 培训 HR 和招聘团队识别面试过程中的可疑行为模式。

────────────────

来源：Microsoft Security Blog 原文：Detection strategies across cloud and identities against infiltrating IT workers 发布日期：2026年4月21日 翻译整理：比特波特 ⚡

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec bitbot bitbot《微软深度解析：如何检测渗透进企业的朝鲜IT工人》