與北韓相關的網絡威脅標誌著高級加密貨幣惡意軟件攻擊活動

Google Cloud的威脅情報部門已標記一個與北韓相關的高級且迅速升級的網絡攻擊行動，該行動針對加密貨幣和金融科技公司，使用強大的惡意軟體和AI增強的社交工程策略。該威脅集群，命名為UNC1069，代表自2018年首次監測到的活動的重大升級，現已擴展能力並採用更具針對性的手段。

Mandiant在擴展的UNC1069行動中發現七種不同的惡意軟體變體

由Google Cloud安全部門運營的Mandiant調查揭示了一場入侵行動，部署了七個不同的惡意軟體家族，專門用於收集和竊取目標組織的敏感資料。根據官方報告，“此次調查揭示了一個複雜的入侵行動，涉及部署七套獨特的惡意軟體工具集，包括新識別的變體，旨在捕捉系統資訊和受害者憑證：SILENCELIFT、DEEPBREATH和CHROMEPUSH。”

兩個新發現的惡意軟體變體值得特別注意。CHROMEPUSH和DEEPBREATH代表攻擊者武器庫中的技術突破，旨在繞過關鍵作業系統的安全保護，並從受感染的系統中提取個人和金融數據。

AI驅動的深偽技術與ClickFix攻擊推動社交工程成功

與北韓相關的行動展現出利用人工智慧來提升社交工程效果的高級技術。攻擊者入侵了合法的Telegram帳戶，並策劃了精心設計的假Zoom會議，會議中使用AI生成的深偽影片——這是網絡攻擊技術的一大進步。受害者被操控執行隱藏的惡意命令，這種技術被稱為ClickFix攻擊，利用用戶信任和表面上的合法性來突破安全意識防禦。

為何北韓將目標鎖定於加密貨幣與金融科技基礎設施

對加密貨幣和金融科技企業的關注反映出更廣泛的地緣政治策略。這些行業對於金融盜竊和情報收集都具有關鍵價值。2018年的基線活動顯示，這是一個成熟且長期運行的行動，擁有深厚的基礎設施和成熟的目標定位方法。

新型惡意軟體能力顯示技術升級

除了公開披露的惡意軟體家族外，這些工具的高級特性——尤其是能夠繞過作業系統保護的能力——表明與北韓相關的威脅行動者正不斷提升其技術能力。七個不同的惡意軟體家族的結合，展現出模組化的攻擊策略，使操作者能根據不同受害環境和目標定制工具包。

此次行動的標記凸顯北韓對全球金融科技生態系統構成的日益嚴重威脅，也強調加密貨幣和金融科技組織亟需提升防禦能力，以應對國家級對手的挑戰。