【安全资讯】KnowBe4误雇朝鲜黑客，遭遇信息窃取攻击

概要：

美国网络安全公司KnowBe4近日发现，其新聘用的一名首席软件工程师竟是一名朝鲜国家黑客，试图在公司设备上安装信息窃取软件。尽管公司及时发现并阻止了这一恶意行为，但此事件再次凸显了朝鲜黑客伪装成IT员工的持续威胁。

主要内容：

KnowBe4在进行背景调查、验证推荐信并进行四次视频面试后，聘用了这名黑客。然而，事后发现该黑客使用了美国人的被盗身份，并利用AI工具生成了虚假头像，以通过初步检查和视频会议。

2024年7月15日，KnowBe4的EDR产品报告了新员工的Mac工作站尝试加载恶意软件的行为。该恶意软件是一种信息窃取程序，目标是存储在网络浏览器中的数据。公司怀疑该黑客试图提取IT部门初步配置过程中留下的任何凭证或未完全擦除的旧员工信息。

当被公司IT人员质询时，该黑客最初以各种借口搪塞，但很快停止了所有沟通。KnowBe4的SOC团队发现，该黑客使用Raspberry Pi下载恶意软件，并操纵会话历史文件、传输潜在有害文件及执行未经授权的软件。

KnowBe4的CEO Stu Sjouwerman解释，这种骗局涉及欺骗雇主将工作站发送到一个“IT骡子笔记本农场”，然后黑客通过VPN在夜间连接到该设备，伪装成在美国工作。为减轻此类风险，KnowBe4建议公司为新员工维护一个与关键网络部分隔离的沙盒环境，并确保新员工的外部设备不被远程使用，同时将运输地址不一致视为红旗。