Північна Корея позначена як країна, що проводить складну кампанію крипто-малвару, спрямовану на сектор фінтеху

Дослідники безпеки підрозділу Mandiant компанії Google Cloud виявили скоординовану кібератаку, пов’язану з Північною Кореєю, яка активно націлена на криптовалютні та фінтех-компанії. Група загроз, позначена як UNC1069, є значним ескалаційним кроком у діяльності, вперше зафіксованій у 2018 році, і тепер використовує арсенал зловмисних інструментів у поєднанні з передовими техніками соціальної інженерії для проникнення до високовартісних цілей у сфері цифрових активів.

Група загроз UNC1069 — Постійна операція, пов’язана з Північною Кореєю

Розслідування Mandiant показало ретельно організовану кампанію вторгнення, яка вводить повний набір нових атакуючих інструментів. Операція демонструє еволюцію кіберздібностей Північної Кореї, при цьому дослідники підтвердили використання семи різних сімей зловмисного програмного забезпечення, спеціально створених для цієї кампанії. За детальним аналізом загроз, ця діяльність є значним розширенням попередніх операцій групи, що свідчить про постійні інвестиції у розробку складної інфраструктури для атак у фінтех-секторі.

Сім сімей зловмисного програмного забезпечення для витоку даних

Новий набір зловмисних інструментів включає SILENCELIFT, DEEPBREATH і CHROMEPUSH — три особливо небезпечні варіанти, створені для подолання сучасних систем безпеки. CHROMEPUSH і DEEPBREATH були спеціально розроблені для обходу критичних захистів операційних систем і збору чутливої особистої інформації з компрометованих систем. Ці інструменти є значним кроком вперед у технічних можливостях Північної Кореї, дозволяючи зловмисникам витягувати дані хостів і облікові дані жертв, уникаючи при цьому традиційних механізмів виявлення на кінцевих пристроях.

Техніки соціальної інженерії на основі штучного інтелекту та ClickFix

Крім розгортання зловмисного програмного забезпечення, операція, пов’язана з Північною Кореєю, використовує складні тактики соціальної інженерії, що поєднують технології штучного інтелекту з традиційними фішинговими методами. Кампанія експлуатує зламані акаунти Telegram для встановлення фальшивої довіри з цільовими особами, а потім переходить до організації фальшивих зустрічей у Zoom із використанням AI-згенерованих глибоких фейків реальних осіб. Потерпілі потім маніпулюють, змушуючи їх виконувати приховані команди через атаки ClickFix — техніку, яка обманює користувачів, змушуючи запускати зловмисний код, маскований під легітимні системні ремонти або повідомлення безпеки. Цей багаторівневий підхід, що поєднує штучний інтелект, крадіжку облікових даних і психологію, демонструє, як зловмисники еволюціонують і виходять за межі традиційних кампаній, орієнтованих лише на зловмисне програмне забезпечення.