游乐游手机版
首页/科技数码/文章详情

XDR与威胁情报解析:入职十天识别朝鲜IT渗透人员

时间:2026-03-25 19:43
身份与访问管理无法单独识别冒牌IT人员。如本例所示,发现朝鲜内鬼需整合多重信号。 朝鲜IT冒牌员工计划已成为跨行业重大威胁。尽管最佳实践强调招聘阶段的防范措施,但一旦这类人员入职,往往难以察觉。近期

身份与访问管理无法单独识别冒牌IT人员。如本例所示,发现朝鲜内鬼需整合多重信号。

朝鲜IT冒牌员工计划已成为跨行业重大威胁。尽管最佳实践强调招聘阶段的防范措施,但一旦这类人员入职,往往难以察觉。近期案例证明,行为分析、威胁情报等多维度信息融合正成为关键防御手段。

LevelBlue SpiderLabs报告显示,某疑似朝鲜关联人员通过安全审查后被雇佣处理Salesforce数据,10天后才被识别并解雇。最终通过地理位置异常、非托管设备访问及威胁情报关联锁定威胁。

事件时间线

2025年8月,Cybereason XDR行为分析系统标记可疑登录模式,LevelBlue SpiderLabs威胁情报证实企业无意中雇佣了恶意人员。当管理员激活新员工EntraID账户时,团队发现其使用德克萨斯州达拉斯IP登录(偏离其常用中国区域),且登录设备未受管控,IP归属朝鲜IT人员常用Astrill VPN。

LevelBlue SpiderLabs威胁检测工程师Tue Luu表示:"这种威胁很少通过单一指标判定,而是多重可疑迹象与统计异常的综合结果。"朝鲜IT冒牌人员可能窃取敏感数据、源代码、商业机密及知识产权,使企业面临勒索或凭证窃取风险。据估算,朝鲜远程工作者计划已渗透全球数百家企业,年均创收2.5亿至5亿美元。

攻击实施细节

周五:攻击者通过远程员工招聘,分配处理Salesforce数据并通过标准验证周五至周三:Cybereason XDR建立行为基线,显示其持续从中国登录周四:检测到登录异常触发高危警报周五:威胁情报匹配朝鲜攻击者使用的Astrill VPN基础设施周一:撤销账户并启动深入调查

调查团队审查员工互动记录、群聊记录等材料,未发现残留访问、后门或恶意工具痕迹,这归功于快速检测机制。

朝鲜关联内鬼的典型特征

SpiderLabs发现这类攻击者常从中国而非朝鲜操作,利用VPN服务掩盖真实地理位置。Astrill VPN能突破中国防火墙,通过美国出口节点伪装成合法国内员工。已知Astrill VPN IP范围的认证事件即构成高置信度入侵指标。

Luu指出:"本案中该VPN并非客户环境常用解决方案,这种非常规使用构成真正异常。XDR方案能区分个人与商业VPN,仅对个人VPN使用告警。"

IAM并非万能方案

身份与访问管理无法单独识别冒牌IT人员。如本例所示,发现朝鲜内鬼需整合多重信号。Luu建议:"可采取权限渐进策略,对高风险雇佣逐步提升权限。同时关注特定地区非工作时间登录或操作行为。"

CISO应确保入职流程健全并定期审查,Luu建议:"明确环境中的'正常'软件并制定标准,优先使用公司管控的Windows设备。IT管理员应启用EntraID条件访问策略限制登录区域。本案客户事发前未激活该策略,事后根据Cybereason建议进行了配置。"

来源:https://www.51cto.com/article/838883.html
上一篇阿斯利康数据泄露:LAPSUS$黑客组织宣称窃取内部信息 下一篇开源密钥扫描工具Betterleaks的安全实践指南
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
OpenClaw手机App上线,结果翻车了
科技数码 · 2026-07-01

OpenClaw手机App上线,结果翻车了

OpenClaw 官方宣布,已正式推出 iOS 和 Android 原生移动 App,用户如今可以在手机上使用这款主打“能真正帮你做事”的个人 AI 助手。官方在 X 上给出的定位也很直接:把 Agent 放进口袋里,让用户可以在移动端处理频道消息、任务和回复。从功能上看,OpenClaw 移动端并

优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5