Am 15. Juli 2024 um 01:55 UTC (9:55 Uhr Ostzeit) registrierten die KnowBe4-Überwachungssysteme in Clearwater, Florida, einen kritischen Sicherheitswarn. Der Warn zeigte eine anomale Aktivität auf einer neu bereitgestellten Arbeitsstation, die einem kürzlich eingestellten Hauptsoftwareingenieur zugewiesen wurde. Der Einzelne hatte vor diesem Vorfall, der etwa 25 Minuten nach seiner ersten Schicht stattfand, vier Videobesprechen, Referenzkontrollen und eine Hintergrunduntersuchung erfolgreich gelöscht.

Die beobachtete Aktivität beinhaltete die Installation von Malware, die über einen Raspberry Pi geliefert wurde, der mit demselben Netzwerk wie die Arbeitsstation verbunden war.Die Untersuchungen zeigten, dass das Profil des Ingenieurs ein durch künstliche Intelligenz modifiziertes Stockbild und eine Identität verwendet hat, die von einem echten amerikanischen Bürgern erstellt wurde.Die Intelligenzbewertungen deuten darauf hin, dass der Betreiber in der Demokratischen Volksrepublik Korea oder im Nordosten Chinas physisch ansässig ist und unter dem Amt des Departements 53 der DPRK tätig ist.

Das KnowBe4-Sicherheitsbetriebszentrum hat den Kontakt zum Benutzer in Bezug auf die anomale Aktivität eingeleitet und eine Antwort erhalten, die sie dem Router-Fehler-Fehler zuschreibt. Eine anschließende Anfrage nach einem Live-Anruf wurde abgelehnt, gefolgt von einer vollständigen Unantwortung. Um 02:20 UTC (10:20 Uhr Ostzeit) wurde der Workstation erfolgreich eingeschlossen, was weiteren Zugriff verhinderte. Die Malware wurde als Infostealer identifiziert, der auf die aus der vorherigen Systemprovisioning verbleibenden Anmeldeinformationen abzielte.

RECOMMENDATION: Angesichts der Fähigkeit des Betreibers, umfangreiche Vorbeschäftigungskontrollen zu umgehen und der bestätigten Absicht, sensible Daten zu exfiltreren, ist die kontinuierliche Verbesserung der Personal-zentrierten Identitätsprüfungsprozesse von größter Bedeutung.Die anhaltende Bedrohung durch staatlich geförderte Akteure, die anspruchsvolle Identitätsfabrikation und Remote-Access-Techniken einsetzen, erfordert einen Wechsel zu dynamischer, multifaktorischer Identitätssicherung während des gesamten Arbeitslebenszyklus, der sich über das erste Onboarding hinaus erstreckt.