北朝鮮、金融技術セクターを標的とした高度な暗号マルウェアキャンペーンで警告される

Google Cloudのマンダイアント部門のセキュリティ研究者は、北朝鮮に関連する協調型サイバー作戦を発見しました。この作戦は、暗号通貨やフィンテック企業を積極的に標的としています。脅威グループはUNC1069と命名されており、2018年に初めて検出された活動の大幅な拡大を示しています。現在、悪意のあるツールの arsenal と高度なソーシャルエンジニアリング技術を組み合わせて、デジタル資産分野の高価値ターゲットを侵害しています。

UNC1069脅威グループ - 北朝鮮に関連する持続的な作戦

マンダイアントの調査により、綿密に計画された侵入キャンペーンが明らかになりました。このキャンペーンは、新たに特定された攻撃ツールの一式を導入しています。この作戦は、北朝鮮のサイバー能力の進化を示しており、研究者はこのキャンペーンのために特別に設計された7つのマルウェアファミリーの展開を確認しています。マンダイアントの詳細な脅威評価によると、この活動は以前のグループの作戦から大きく拡大しており、フィンテックセクターを標的とした高度な攻撃インフラの開発に継続的に投資していることを示しています。

データ抽出用に設計された7つのマルウェアファミリー

新たに発見されたマルウェアツールキットには、SILENCELIFT、DEEPBREATH、そしてCHROMEPUSHの3つの特に危険なバリアントが含まれています。これらは、最新のセキュリティ防御を突破するために設計されたものです。CHROMEPUSHとDEEPBREATHは、重要なOSの保護を回避し、侵害されたシステムから個人情報を収集するために特別に作られました。これらのツールは、北朝鮮の技術的能力の顕著な進歩を示しており、攻撃者がホストデータや被害者の資格情報を抽出しながら、従来のエンドポイント検出メカニズムを回避できるようになっています。

AIを活用したソーシャルエンジニアリングとClickFix戦術

生のマルウェア展開を超えて、北朝鮮に関連する作戦は、AI技術と従来のフィッシング手法を融合させた高度なソーシャルエンジニアリング戦術を駆使しています。このキャンペーンは、侵害されたTelegramアカウントを利用してターゲットとの信頼関係を偽装し、その後、AI生成のディープフェイク動画を用いた正規の人物になりすましたZoom会議を仕掛けます。被害者は、その後、ClickFix攻撃を通じて隠されたコマンドを実行させられます。これは、ユーザーを騙して正規のシステム修復やセキュリティのプロンプトに見せかけた悪意のあるコードを実行させる手法です。この多層的なアプローチは、人工知能、資格情報の窃盗、心理操作を組み合わせており、脅威アクターが従来のマルウェアだけのキャンペーンを超えて進化していることを示しています。