24 ноября КНДР ведет операцию «Contagious Interview»: фальшивая платформа атакует специалистов ИИ Недавние наблюдения указывают на то, что новый вариант связанной с КНДР операции Contagious Interview активно нацелен на американских специалистов в области искусственного интеллекта и других технологических областях. В отличие от предыдущих подходов — когда злоумышленники маскировались под сотрудников для проникновения в компании — текущая кампания предполагает компрометацию подлинных соискателей путём создания кажущегося законным портала вакансий. Как устроена кампания Платформа-реквизит демонстрирует высокий уровень отточенности: злоумышленники используют визуальные подсказки и элементы, имитирующие известные западные технологические стартапы, чтобы повысить аутентичность и доверие. При этом объявления на сайте тщательно отформатированы, копируют реальные объявления о работе в США и содержат детализированные названия, описания и типы занятости. Приманка предназначена для повышения доверия к платформе: сравнивая свой фиктивный сервис с реальными компаниями в сфере искусственного интеллекта и производительности, злоумышленники создают видимость рыночной значимости. Ключевые элементы методики: имитация интерфейсов и брендинга известных компаний для создания иллюзии подлинности; объявления, скопированные по стилю и содержанию с реальных вакансий в США; стандартизированные формы кандидатур, требующие конфиденциальной личной информации — имена, адреса эл. почты, профили в LinkedIn — для последующего профилирования; встраивание вредоносных компонентов в процесс подачи заявления, в том числе программа-загрузчик под видом «Обновления драйверов Microsoft»; многоэтапная методология атаки с использованием механизмов перехвата и подмены данных. Технические приёмы злоумышленников Операция включает несколько технически сложных приёмов, характерных для кибертактик, приписываемых КНДР. Среди них особенно выделяются: захват буфера обмена: прослушиватель событий программируется на изменение содержимого буфера обмена каждый раз, когда пользователь копирует информацию с портала; скопированные команды заменяются вредоносными последовательностями, разработанными злоумышленниками; использование PowerShell-скриптов для извлечения встроенных сценариев без появления видимых предупреждений пользователю; встраивание загрузчиков под видом легитимных обновлений, что облегчает развертывание следующего этапа компрометации. Кого выбирают в качестве целей и зачем Ориентация на профессионалов в области искусственного интеллекта и криптовалют является стратегической: злоумышленников интересуют ценные технологические таланты и инфраструктура, которые могли бы расширить их возможности. Кампания выдаёт себя за уважаемых работодателей, в том числе Anthropic и Yuga Labs, что одновременно служит приманкой и фильтром — злоумышленники ищут людей, чьи навыки и связи в отрасли представляют практическую ценность. Последствия и значимость Такая тактика подчёркивает степень изощрённости эволюционирующих киберопераций, связанных с КНДР. Вместо прямых атак на корпоративную инфраструктуру злоумышленники всё чаще ориентируются на компрометацию персональных данных и идентификационных сведений реальных специалистов, создавая возможности для последующего целевого рекрутинга, шпионажа или внедрения в экосистемы, критичные для развития технологий. Вывод Новый вариант операции Contagious Interview демонстрирует переход от традиционных методов социальной инженерии к более тонко настроенным кампаниям, использующим легитимную обёртку — фиктивные платформы трудоустройства. Это делает угрозу особенно опасной для отдельных специалистов: проверять достоверность работодателей и обращать внимание на нетипичные требования при подаче заявлений становится критически важным. Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке . Source: https://cisoclub.ru/kndr-vedet-operaciju-contagious-interview-falshivaja-platforma-atakuet-specialistov-ii/