概述
BCA LTD、NorthScan 和 ANY.RUN 的一项联合调查揭露了朝鲜最顽固的渗透渠道之一——一个与 Lazarus 集团“著名千里马”部门相关的庞大远程 IT 工作者网络。研究人员首次能够实时观察 Lazarus 操作员的工作,诱骗他们使用虚假的开发者笔记本电脑,这些电脑实际上是完全由分析人员控制的、长期运行的交互式沙盒。这项调查揭示了朝鲜如何将隐蔽工作人员嵌入西方公司内部,以窃取身份、转移工资并获取公司基础设施访问权限。
第一阶段:通过虚假招聘进行渗透
行动始于 NorthScan 的 Heiner García 假扮成一名美国开发者——这是朝鲜招募者的常见目标。对手使用化名 “Aaron” 或 “Blaze”,试图雇佣这位虚假开发者作为前台人员。该策略遵循典型的“著名千里马”招聘链:
- 使用被盗或借用的身份
- 利用 AI 指导候选人通过面试
- 通过受害者的笔记本电脑进行远程操作
- 将合同收入输送回朝鲜 一旦 “Blaze” 要求完全接管身份——包括社会保险号、身份证、Gmail 访问权限、LinkedIn 凭证以及 24/7 的笔记本电脑可用性——研究人员便进入了第二阶段。
一张招聘信息截图,提供虚假工作机会。
第二阶段:不真实的“笔记本电脑农场”
ANY.RUN 没有提供真实的机器,而是部署了多个沙盒虚拟桌面,这些桌面被定制成看起来像合法的开发者工作站。这些诱饵系统包括:
- 虚假的使用历史
- 开发者工具(IDE、代码仓库、浏览器配置文件)
- 为求逼真而使用的美国住宅代理
- 模仿活跃用户的长正常运行时间模式 由于机器完全在研究人员的控制之下,他们可以:
- 监控所有操作员的行为
- 按指令强制系统崩溃
- 捕获屏幕截图、会话和执行的命令
- 跟踪文件上传和浏览器同步活动
- 记录 VPN、网络和远程访问设置 Lazarus 的操作员一直相信他们正在一台真实的目标设备上工作。
由 ANY.RUN 交互式沙盒提供的安全虚拟环境。
第三阶段:深入“著名千里马”的工具包
一旦登录到虚假的工作站,操作员的行为揭示了一个清晰的模式。值得注意的是,没有部署任何恶意软件——这表明该行动依赖于身份接管,而非技术漏洞利用。 观察到的工具和技术包括:
1. 身份与工作自动化
- Simplify Copilot
- AiApply
- Final Round AI (用于自动填写申请表、回答面试问题并通过招聘筛选。)
2. OTP 与认证绕过工具
- OTP.ee
- Authenticator.cc (在窃取身份文件后,用于管理受害者的双因素认证。)
3. 持久远程访问
- 通过 PowerShell 安装 Google 远程桌面
- 为持续访问配置固定 PIN 码
4. 系统侦察
dxdiagsysteminfowhoami(用于确认机器有效性和分析硬件。)
5. 基础设施关联 所有流量都通过 Astrill VPN 路由,这是先前 Lazarus 行动中的一个已知指标。 在一次会话中,操作员甚至留下了一条记事本消息,指示虚假开发者上传:
- 社会保险号
- 政府身份证
- 银行账户详情 这证实了其目标:身份盗窃 + 端点接管。
为何这些行动如此危险
朝鲜的 IT 工作者计划旨在将朝鲜操作员嵌入合法的西方公司内部。一旦进入,操作员可以:
- 访问内部仪表板
- 修改工资支付路径
- 转移资金
- 重定向加密货币流
- 收集内部数据
- 横向移动到公司系统
- 支持更广泛的 Lazarus 活动 该技术绕过了传统的网络安全控制,因为攻击者是通过人力资源流程而非防火墙进入的。
对公司和招聘团队的警告
此次调查突出了一个关键的威胁向量:远程招聘过程本身。被朝鲜招募者盯上的求职者会在不知情的情况下成为:
- 身份洗钱的中间人
- 受制裁操作员的代理员工
- 内部入侵的入口点 此风险影响以下领域的企业:
- 金融与金融科技
- 加密货币
- 医疗保健
- 工程
- 软件开发 组织必须确保:
- 严格的身份验证
- 远程招聘期间的交叉检查
- 对人力资源和 IT 部门进行意识培训
- 可疑招募者互动的明确升级路径
- 设备认证和受监控的入职流程 一名被入侵的员工可能成为受制裁国家级行为者的特洛伊木马。