Кіберзагроза, пов’язана з Північною Кореєю, вказує на просунуту кампанію з використанням криптовалютного шкідливого програмного забезпечення

Відділ розвідки загроз Google Cloud повідомив про складну та швидко розвиваючуся кібератаку, пов’язану з Північною Кореєю, яка націлена на криптовалютні та фінтех-компанії за допомогою потужного арсеналу шкідливого програмного забезпечення та соціальної інженерії з використанням штучного інтелекту. Група загроз, позначена як UNC1069, є значним посиленням активності, яку вперше відстежували у 2018 році, з розширеними можливостями та більш цілеспрямованими методами.

Mandiant виявила сім різних варіантів шкідливого програмного забезпечення у розширеній операції UNC1069

Розслідування, проведене Mandiant під керівництвом служби безпеки Google Cloud, показало кампанію вторгнення, що використовує сім різних сімей шкідливого ПЗ, спеціально розроблених для збору та крадіжки конфіденційних даних із цільових організацій. За офіційним звітом, «Це розслідування виявило складне вторгнення з використанням семи унікальних наборів шкідливого ПЗ, включаючи нові варіанти, створені для захоплення системної інформації та облікових даних жертви: SILENCELIFT, DEEPBREATH і CHROMEPUSH».

Два нові штами шкідливого ПЗ заслуговують особливої уваги. CHROMEPUSH і DEEPBREATH є технічними проривами у арсеналі зловмисників, створеними для обходу критичних захистів операційної системи та витягання особистих і фінансових даних із скомпрометованих систем.

Штучний інтелект у глибоких фейках та атаках ClickFix сприяє успіху соціальної інженерії

Кампанія, пов’язана з Північною Кореєю, демонструє складне використання штучного інтелекту для підвищення ефективності соціальної інженерії. Зловмисники зламали легітимні акаунти Telegram і організували складні фейкові зустрічі у Zoom із використанням AI-згенерованих глибоких фейків — значний крок у еволюції кіберзлочинності. Жертв маніпулювали, змушуючи виконувати приховані шкідливі команди через так звані атаки ClickFix, що використовують довіру користувачів і видиму легітимність для обходу систем захисту.

Чому Північна Корея націлюється на інфраструктуру криптовалют і фінтеху

Фокус на криптовалютних і фінтех-компаніях відображає ширші геополітичні стратегії. Ці сектори мають критичне значення для фінансових крадіжок і збору розвідданих. Базова активність 2018 року свідчить про зрілу, довготривалу кампанію з глибокою інфраструктурою та усталеними методами цілеспрямованого впливу.

Нові можливості шкідливого ПЗ сигналізують про зростаючу технічну складність

Крім сімей шкідливого ПЗ, згаданих у публічних повідомленнях, їхня складність — особливо здатність обходити захист операційної системи — свідчить про постійний прогрес з боку зловмисників, пов’язаних із Північною Кореєю. Поєднання семи різних сімей шкідливого ПЗ вказує на модульний підхід до атак, що дозволяє операторам налаштовувати інструментарій під різні цілі та середовища.

Позначення цієї кампанії підкреслює зростаючу загрозу, яку Північна Корея становить для глобальної екосистеми фінансових технологій, і наголошує на необхідності посилення захисту криптовалютних і фінтех-організацій проти державних зловмисників.