Mối đe dọa mạng liên quan đến Triều Tiên cảnh báo chiến dịch phần mềm độc hại tiền điện tử nâng cao

Phòng phân tích mối đe dọa của Google Cloud đã phát hiện một hoạt động mạng tinh vi và đang gia tăng nhanh liên quan đến Triều Tiên, nhằm vào các công ty tiền mã hóa và fintech với kho vũ khí gồm phần mềm độc hại mạnh mẽ và các chiến thuật xã hội kỹ thuật tăng cường bằng AI. Nhóm mối đe dọa, được gọi là UNC1069, thể hiện sự gia tăng đáng kể hoạt động từ lần đầu tiên được theo dõi vào năm 2018, nay đã mở rộng khả năng và phương pháp nhắm mục tiêu chính xác hơn.

Mandiant Phát Hiện Bảy Phiên Bản Phần Mềm Độc Hại Khác Nhau Trong Hoạt Động UNC1069 Mở Rộng

Cuộc điều tra của Mandiant, hoạt động dưới bộ phận an ninh của Google Cloud, đã phát hiện một chiến dịch xâm nhập sử dụng bảy họ phần mềm độc hại khác nhau được thiết kế đặc biệt để thu thập và đánh cắp dữ liệu nhạy cảm từ các tổ chức mục tiêu. Theo báo cáo chính thức, “Cuộc điều tra này phát hiện một cuộc xâm nhập tinh vi liên quan đến việc triển khai bảy bộ công cụ phần mềm độc hại độc đáo, bao gồm các biến thể mới được xác định nhằm thu thập thông tin hệ thống và thông tin xác thực của nạn nhân: SILENCELIFT, DEEPBREATH và CHROMEPUSH.”

Hai biến thể phần mềm độc hại mới phát hiện gần đây đặc biệt đáng chú ý. CHROMEPUSH và DEEPBREATH thể hiện bước đột phá về kỹ thuật trong kho vũ khí của kẻ tấn công, được thiết kế để vượt qua các biện pháp bảo vệ an ninh của hệ điều hành và trích xuất dữ liệu cá nhân cùng tài chính từ các hệ thống bị xâm phạm.

Deepfake dựa trên AI và các cuộc tấn công ClickFix thúc đẩy thành công trong xã hội kỹ thuật

Chiến dịch liên quan đến Triều Tiên thể hiện việc sử dụng trí tuệ nhân tạo tinh vi để nâng cao hiệu quả xã hội kỹ thuật. Kẻ tấn công đã xâm nhập các tài khoản Telegram hợp pháp và tổ chức các cuộc họp Zoom giả mạo tinh vi với video deepfake do AI tạo ra—một bước tiến đáng kể trong kỹ năng tấn công mạng. Nạn nhân bị thao túng để thực hiện các lệnh độc hại ẩn bên trong thông qua các cuộc tấn công gọi là ClickFix, một kỹ thuật lợi dụng lòng tin của người dùng và tính hợp pháp rõ ràng để vượt qua các biện pháp phòng thủ nhận thức về an ninh.

Tại sao Triều Tiên nhắm vào hạ tầng tiền mã hóa và fintech

Việc tập trung vào các công ty tiền mã hóa và fintech phản ánh chiến lược địa chính trị rộng lớn hơn. Các lĩnh vực này có giá trị quan trọng cả về trộm cắp tài chính lẫn thu thập tình báo. Hoạt động nền tảng từ năm 2018 cho thấy đây là một chiến dịch trưởng thành, lâu dài, với hạ tầng sâu và phương pháp nhắm mục tiêu đã được thiết lập vững chắc.

Khả năng mới của phần mềm độc hại báo hiệu sự leo thang về kỹ thuật

Ngoài các họ phần mềm độc hại đã được công bố công khai, tính chất tinh vi của các công cụ này—đặc biệt khả năng vượt qua các biện pháp bảo vệ của hệ điều hành—cho thấy các nhóm mối đe dọa liên quan đến Triều Tiên liên tục nâng cao năng lực kỹ thuật của họ. Sự kết hợp của bảy họ phần mềm độc hại khác nhau gợi ý một phương pháp tấn công theo mô-đun, cho phép các nhà điều hành tùy chỉnh bộ công cụ của mình phù hợp với các môi trường và mục tiêu khác nhau của nạn nhân.

Việc cảnh báo về chiến dịch này nhấn mạnh mối đe dọa ngày càng tăng mà Triều Tiên đặt ra đối với hệ sinh thái công nghệ tài chính toàn cầu và làm nổi bật nhu cầu cấp thiết các tổ chức tiền mã hóa và fintech cần nâng cao khả năng phòng thủ trước các đối thủ cấp quốc gia.