HackerNews 编译,转载请注明出处:
事件响应人员发布的新报告显示,朝鲜黑客针对一家加密货币公司的管理人员发起攻击,部署了多款独特恶意软件,并配合包括虚假 Zoom 会议在内的多种诈骗手段。
谷歌旗下的 Mandiant 发布了针对近期一起攻击事件的详细分析,该事件涉及朝鲜境内以牟利为目的的威胁组织 UNC1069,此次攻击因对受害者的高度定制化与针对性而尤为突出。
黑客最初通过 Telegram 联系受害者,使用的是另一名加密货币行业高管遭攻陷的账号。受害者被发送了一个 Calendly 链接,用以预约一场30分钟的会议,其中包含一个 Zoom 会议链接。
Mandiant 解释称:“受害者报告称,在通话期间,对方展示了一段另一家加密货币公司 CEO 的视频,该视频似乎是深度伪造的。”“尽管 Mandiant 未能在此特定实例中获取法证证据以独立验证 AI 模型的使用,但所报告的欺骗手段与之前公开报道的、具有类似特征的一起事件相似,该事件中也据称使用了深度伪造。”
当受害者进入会议后,黑客声称存在音频问题——诱使受害者在其设备上执行多项操作,据称是为了解决问题。这些问题是为掩盖 ClickFix 攻击而设的骗局——这是一种黑客通过让受害者尝试解决虚构的技术问题来在其设备上安装恶意软件的技术。
在此案例中,受害者被引导至一个网页,该网页提供了针对 macOS 系统和 Windows 系统的故障排除说明。在一系列命令中嵌入了一行启动感染链的代码。
受害者按照故障排除命令操作后,其 macOS 设备被感染。
首批恶意文件,Mandiant 称之为 WAVESHAPER 和 HYPERCALL,是后门程序,允许黑客安装其他工具以扩大其在受害者设备上的立足点。
Mandiant 表示,发现了威胁行为者使用的两种不同的数据窃取工具,分别称为 DEEPBREATH 和 CHROMEPUSH。DEEPBREATH 使黑客能够窃取凭证、浏览器数据、Telegram 中的用户数据以及 Apple 备忘录中的其他数据。该恶意软件将所有信息压缩成 ZIP 存档并外泄到远程服务器。
CHROMEPUSH 是一个恶意工具,被伪装成用于离线编辑 Google 文档的无害浏览器扩展。但该工具实际上会记录击键、跟踪用户名和密码、窃取浏览器 Cookie 等。
事件响应人员指出,这次攻击涉及“异常大量的工具被投放到针对单个个人的单一主机上”——这使他们相信这是一次旨在窃取尽可能多信息的特定攻击。
他们表示,其目的可能具有双重性:“既为了实施加密货币盗窃,也为了利用受害者的身份和数据推动未来的社会工程活动。”
Mandiant 称自 2018 年以来一直在追踪 UNC1069,并观察到其攻击手法自此发生了显著演变——特别是近期针对中心化交易所、金融机构的软件开发人员、高科技公司以及风险投资基金中的个人。
Mandiant 解释道:“尽管与 2025 年其他组织(如 UNC4899)相比,UNC1069 对加密货币劫案的影响较小,但它仍然是一个活跃的威胁,以为获取经济利益为目标,针对中心化交易所以及实体和个人。”“Mandiant 观察到该组织在 2025 年活跃于针对金融服务和加密货币行业的支付、经纪、质押和钱包基础设施等垂直领域。”
UNC1069 在对企业实体以及加密货币行业人员的攻击中使用了虚假的 Zoom 会议和各种 AI 工具。Mandiant 表示,已观察到这个朝鲜组织使用谷歌的 Gemini AI 工具进行行动研究、开发工具等。
上个月在联合国,美国官员表示,已有数十个国家遭遇了朝鲜黑客实施的加密货币盗窃。朝鲜被指控在 2025 年窃取了超过 20 亿美元的加密货币。
消息来源:therecord.media;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文