HackerNews 编译,转载请注明出处:
美国财政部海外资产控制办公室(OFAC)于7月8日(周二)制裁了朝鲜黑客组织“Andariel”的一名成员,因其参与了臭名昭著的远程IT工作者计划。
财政部表示,现年38岁的朝鲜公民宋金赫(Song Kum Hyok)支持了这一欺诈性计划。他利用外国招募的IT工作者寻求美国公司的远程工作职位,并计划与他们分得收入。
据称,在2022年至2023年间,宋金赫盗用美国公民的身份信息(包括姓名、地址和社会安全号码)为招募的IT工作者伪造化名。这些工作者随后利用这些虚假身份,冒充美国公民在美国境内寻找远程工作。
此次制裁行动发生在美国司法部(DoJ)宣布针对朝鲜IT工作者计划采取广泛行动几天之后。司法部的行动导致一人被捕,并查封了29个金融账户、21个欺诈性网站以及近200台计算机。
制裁还针对一名俄罗斯公民和四家参与俄罗斯境内IT工作者计划的实体。该计划雇佣并托管朝鲜人员以实施恶意操作。被制裁对象包括:
- Gayk Asatryan:他利用其位于俄罗斯的公司 Asatryan LLC 和 Fortuna LLC 雇佣朝鲜IT工作者。朝鲜松光贸易总会社(Korea Songkwang Trading General Corporation):该公司与Asatryan签订协议,派遣多达30名IT工作者到Asatryan LLC在俄罗斯工作。朝鲜赛纳尔贸易公司(Korea Saenal Trading Corporation):该公司与Asatryan签订协议,派遣多达50名IT工作者到Fortuna LLC在俄罗斯工作。
此次制裁首次将“Andariel”(隶属于“Lazarus Group”的一个子组织)的威胁行为体与该IT工作者计划联系起来。该计划已成为这个受制裁国家关键的非法收入来源。“Lazarus Group”被评估为隶属于朝鲜侦察总局(RGB)。
财政部副部长迈克尔·福克恩德(Michael Faulkender)表示,此举“凸显了警惕朝鲜持续秘密资助其大规模杀伤性武器(WMD)和弹道导弹计划的重要性”。他重申:“财政部致力于利用一切可用工具,破坏金正恩政权通过窃取数字资产、试图冒充美国人以及恶意网络攻击等手段规避制裁的企图。”
该IT工作者计划(也被追踪为Nickel Tapestry、Wagemole和UNC5267)涉及朝鲜人员利用窃取和伪造的身份信息,受雇于美国公司担任远程IT工作者。其目的是获取固定工资,并通过复杂的加密货币交易将资金输送回朝鲜政权。
这种内部威胁只是朝鲜为该国筹集资金的众多方法之一。TRM Labs汇编的数据显示,仅在2025年上半年,全球发生的75起加密货币盗窃和漏洞利用事件中,总计21亿美元被盗金额中约有16亿美元与朝鲜有关——这主要归因于今年早些时候Bybit交易所遭遇的重大盗窃案。
应对该威胁的举措主要来自美国当局。但DTEX首席i3内部风险调查员迈克尔·“巴尼”·巴恩哈特(Michael “Barni” Barnhart)表示,其他国家也在加紧采取类似行动,并向更广泛的受众提高认识。他指出:“这是一个复杂的跨国问题,涉及许多环节,因此国际合作和开放沟通极为有用。举例来说,一名朝鲜IT工作者可能身在中国,受雇于一家伪装成新加坡公司的空壳公司,再通过一家欧洲供应商签约,最终为美国客户提供服务。这种程度的操作分层凸显了联合调查和情报共享对于有效打击此类活动的重要性。”他补充道:“好消息是,近年来人们的认识已显著提高,我们现在看到了这些努力的成果。这些初步的认知步骤是全球范围内更广泛转变的一部分,旨在识别并积极破坏这些威胁。”
制裁消息发布之际,有报告称朝鲜背景的黑客组织Kimsuky(又称APT-C-55)正在使用名为“HappyDoor”(快乐门)的后门程序攻击韩国实体。据AhnLab称,该恶意软件早在2021年就已投入使用。该后门程序通常通过鱼叉式钓鱼邮件攻击分发,多年来不断改进,使其能够窃取敏感信息、执行命令、PowerShell代码和批处理脚本,并上传目标文件。AhnLab指出:“该威胁行为体主要伪装成教授或学术机构,利用鱼叉式网络钓鱼等社会工程技术分发带有恶意附件的电子邮件。一旦运行这些附件,就会安装后门程序,并可能安装额外的恶意软件。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
