朝鲜新IT工作者凭借看似无害的求职申请获取组织网络访问权限

admin 2025-12-16 16:24:49 安全新闻 来源:ZONE.CI 全球网 0 阅读模式

近几个月,一个利用朝鲜IT工作者就业欺诈的复杂威胁行为体浮出水面,这表明社会工程学能够绕过传统的安全控制措施。

攻击者的作案手法包括伪装成远程软件工程师,提交看似合法的简历,完成编码评估,最终融入企业环境。

最初的迹象很微妙:无伤大雅的电子邮件、真实的代码提交以及常规的招聘沟通,这些都没有立即引起警觉。

在竞选初期,一位化名为“凯尔·兰克福德”的候选人向美国一家大型医疗服务提供商申请了首席软件工程师一职。

招聘过程正常进行,所有互动均通过Gmail和CodeSignal等常见平台进行。没有分享恶意URL,也没有出现带有恶意软件的附件。

Trellix的分析师指出,这些通信中完全没有技术异常,这使得攻击者能够在不触发端点防御的情况下深入组织的网络。

申请人在2025年7月16日完成编程评估后,于8月4日发送了一封礼貌的跟进邮件。这封邮件虽显而易见,却没有包含任何异常的标题或附件:

From: Kyle Lankford <[email protected]>
To: [email protected]
Subject: Re: CodeSignal Assessment—Principal Software Engineer
Date: Mon, 4 Aug 2025 09:19:34 -0400

Hi [Recruiter Name],

I hope you had a great weekend. I wanted to follow up regarding the Principal Software Engineer position.
I completed the CodeSignal assessment on 7/16 and was wondering if there are any updates or next steps.
I look forward to hearing from you.

Thank you,
Kyle

尽管这些电子邮件性质无害,但Trellix的研究人员在一次由开源情报推动的主动威胁狩猎中发现了这一活动。

安全团队通过将1400多个与朝鲜运营账户相关联的电子邮件地址与内部电子邮件遥测数据进行关联,发现了一个符合多个风险指标的账户。

进一步分析证实,该求职者已建立了合法的企业资质,从而获得了访问内部系统和敏感数据存储库的权限。

感染机制:基于凭证的网络渗透

与依赖恶意有效载荷的传统恶意软件攻击活动不同,该威胁行为者利用基于凭据的渗透来建立立足点。

一旦攻击者的企业账户被授权,他们便使用标准的远程访问协议(如安全外壳协议(SSH)和远程桌面协议(RDP))来探查网络。

他们利用合法的管理工具,绘制出目录结构,获取存储在可访问仓库中的服务账户凭证,并在未部署任何可检测到的恶意软件的情况下,窃取了敏感的项目文件。

这种方法不仅能避开基于特征的检测,还能利用环境中已有的信任关系,这使得攻击者与真正的员工极难区分。

攻击者利用该组织的招聘流程,绕过了边界防御和内部威胁监控。

这个案例强调了在安全工作流程中整合行为分析、持续身份验证和严格背景调查的必要性,以缓解此类非恶意软件为中心的攻击。

评论:0   参与:  2