Kako se IT radnici pretvaraju u opasnost: Strategija zaštite od infiltracije putem lažnih zaposlenih
Severnokorejska grupa Jasper Sleet koristi lažne identitete i veštačku inteligenciju da se infiltrira u organizacije kao IT radnici preko HR platformi.
Šta se desilo?
Grupa napada poznata kao Jasper Sleet, povezana sa Severnom Korejom, razvila je sofisticiranu strategiju za infiltraciju u organizacije kroz proces regrutovanja. Napad počinje sa lažnim kandidatima koji se predstavljaju kao IT radnici sa ukradenim ili falsifikovanim identitetima. Koristeći generativnu veštačku inteligenciju i poslovno oružje, oni analiziraju pozicije za posao, prilagođavaju svoje aplikacije i uspešno prolaze intervjue i onbordiranje. Nakon što dobiju pristup, mogu da kradу podatke, vrše šantažu ili pripremaju dalje napade na organizaciju.
Istraživanje pokazuje da su ovi akteri specijalizovani za eksploataciju API-ja platformi za upravljanje ljudskim resursima kao što je Workday, otkrivajući otvorene pozicije kroz eksterne sisteme i pratiteći aplikacije sa sumnjivim obrascima.
Koga pogađa?
Pogođene su pre svega velike i srednje kompanije koje koriste HR SaaS platforme poput Workday-a. Tradicionalno su ugrožene IT i tehnološke firme koje zapošljavaju daljinski, jer takve pozicije omogućavaju pristup kritičnim sistemima i podacima. Međutim, sve organizacije koje imaju otvorene IT pozicije i koriste eksterne karijerne portale mogu biti meta napada. Posebno su rizični poslodavci sa slabim verifikacijama identiteta tokom onbordiranja novih zaposlenih.
Kako se zaštititi?
- Monitoruj API aktivnost na HR platformama - posebno hrrecruiting/* endpoints - koristeći Microsoft Defender for Cloud Apps ili slične alate.
- Traži anomalije: više spoljnih računa koji pristupaju istim API-jima u podozrivom obrascu ili iz poznatog napadalačkog porekla.
- Primeni strogu verifikaciju identiteta pre nego što procesuiraš kandidate - proveri reference, izvrši pozadinske provere i potraži znakove AI-generisanih materijala.
- Koristi dostupne intelligence izvore o grupama kao Jasper Sleet da bi identifikovao njihove poznate infrastrukture i email račune.
- Primeni dodatne nivoe verifikacije tokom onbordiranja - video interakcije sa više vođa, fizička verifikacija ako je moguće.
- Koordinuj između IT bezbednosti i HR timova kako bi razmenjivali signale o sumnjivim kandidatima tokom svih faza zapošljavanja.
- Proveravaj ponašanje novih zaposlenih nakon onbordiranja - prati prve pristupe sistemima i tražene resurse.
Tehnički detalji
Napad je usredsređen na Workday Recruiting Web Service API-je dostupne preko spoljnih karijerne sajtova. Specifični API endpoints od interesa: hrrecruiting/accounts/*, hrrecruiting/jobApplicationPackages/*, hrrecruiting/validateJobApplication/*, hrrecruiting/resumes/*. Akteri koriste OAuth klijente i tokene za programski pristup i dostavljanje aplikacija. Microsoft Defender XDR pruža detekcije za ove aktivnosti preko Defender for Cloud Apps Workday konektora koji omogućava prikaz API aktivnosti i identifikaciju spoljnih računa sa metapodacima o infrastrukturi.
Preporuka Sajber Radara
Organizacije moraju odmah da implementiraju monitoring HR SaaS platformi sa fokusom na detektovanje anomalne API aktivnosti i neobičnih obrazaca pristupa. Saradnja između IT bezbednosti i HR timova nije samo tehnička mera - to je strateška neophodnost za prepoznavanje lažnih kandidata ranije u procesu zapošljavanja, pre nego što dobiju privilegovane pristupe.
