Оповіщення безпеки: Хакери, пов’язані з Північною Кореєю, запускають нову кампанію з поширення шкідливого програмного забезпечення, спрямовану на криптовалютні компанії

Складна кібератака, приписувана Північній Кореї, була викрита і спрямована на компанії у сфері криптовалют та фінтех із використанням передового арсеналу шкідливого програмного забезпечення та технік соціальної інженерії на основі штучного інтелекту. Відділ розвідки загроз Google Cloud — Mandiant — задокументував цю зростаючу групу загроз під назвою UNC1069, яка демонструє різке розширення діяльності, вперше виявленої дослідниками ще у 2018 році.

Mandiant виявляє UNC1069: еволюція кіберздібностей Північної Кореї

Розслідування Mandiant виявило цілеспрямовану кампанію вторгнення, яка використовувала набір із семи різних версій шкідливого програмного забезпечення, кожне з яких розроблено для збору та виведення даних. Серед нових інструментів — CHROMEPUSH та DEEPBREATH, створені для обходу критичних механізмів безпеки операційної системи та витягання чутливої інформації про хост і жертву. Разом із цим дослідники задокументували сімейства шкідливого ПЗ SILENCELIFT та інші, що свідчить про скоординовану та всебічну інфраструктуру атаки.

За технічним аналізом Mandiant: «Це розслідування виявило цілеспрямоване вторгнення, що призвело до розгортання семи унікальних сімей шкідливого ПЗ, включаючи новий набір інструментів для збору даних про хости та жертв: SILENCELIFT, DEEPBREATH і CHROMEPUSH». Такий різноманітний набір інструментів свідчить про добре забезпеченого зловмисника з високим рівнем технічної підготовки та доступом до спеціалізованих розробок.

Передові техніки соціальної інженерії та AI-створена обман

Кампанія, пов’язана із Північною Кореєю, використовувала зламані акаунти Telegram для початкового контакту, одночасно організовуючи підроблені зустрічі у Zoom із застосуванням AI-генерованих deepfake відео. Такий багаторівневий підхід до обману є значним кроком уперед у тактиці соціальної маніпуляції. Жертви систематично маніпулювалися для виконання прихованих команд через так звані ClickFix-атаки — техніку, що полягає у вставці прихованих інструкцій, які виконуються без відома користувача.

Інтеграція штучного інтелекту у методи соціальної інженерії демонструє, як зловмисники продовжують адаптуватися та використовувати нові технології. Особливо складним є використання deepfake відео, що ускладнює ідентифікацію та верифікацію жертв для цільових організацій.

Наслідки для індустрії криптовалют

Цілеспрямовані атаки на компанії у сфері криптовалют і фінтех викликають важливі питання щодо стратегічних інтересів Північної Кореї у цифровій інфраструктурі активів та чутливих фінансових даних. Ці операції можуть бути спрямовані на:

• Збір облікових даних для переміщення у мережах підприємств
• Дані транзакцій у блокчейні для розвідки або викупних операцій
• Особисті ідентифікаційні дані, що можуть сприяти додатковим компрометаціям або шпигунству

Компанії, що працюють у криптовалютній сфері, вважаються пріоритетними цілями у кіберзагрозах Північної Кореї, тому необхідно підвищувати рівень обережності та безпеки. Тривалість кампанії з 2018 року та її постійна еволюція свідчать про те, що це не тимчасова загроза, а стратегічний пріоритет для супротивника.

Що мають враховувати організації

Кампанія UNC1069 підкреслює важливість навчання співробітників з питань безпеки, зокрема виявлення deepfake та протоколів їх перевірки у випадку несподіваних повідомлень. Мультифакторна автентифікація, можливості виявлення та реагування на кінцевих точках, а також постійний моніторинг за підписами шкідливого ПЗ є необхідними заходами захисту. Оскільки кібероперації Північної Кореї продовжують розвиватися та розширювати свою цільову сферу, криптовалютні компанії мають розглядати цю загрозу як активну та невідкладну.