Bắc Triều Tiên Bị Gắn Cờ Vì Chiến Dịch Phần Mềm Độc Hại Tiền Điện Tử Tinh Vi Nhắm Vào Lĩnh Vực Fintech

Các nhà nghiên cứu an ninh tại bộ phận Mandiant của Google Cloud đã phát hiện ra một hoạt động mạng phối hợp liên quan đến Triều Tiên đang tấn công mạnh mẽ các công ty tiền điện tử và fintech. Nhóm mối đe dọa, được gọi là UNC1069, cho thấy sự leo thang đáng kể về hoạt động từ lần đầu tiên được phát hiện vào năm 2018, hiện đang triển khai một kho vũ khí gồm các công cụ độc hại kết hợp với kỹ thuật xã hội tiên tiến để xâm nhập các mục tiêu giá trị cao trong lĩnh vực tài sản kỹ thuật số.

Nhóm mối đe dọa UNC1069 - Một hoạt động liên tục liên quan đến Triều Tiên

Cuộc điều tra của Mandiant đã tiết lộ một chiến dịch xâm nhập được tổ chức cẩn thận, giới thiệu một bộ đầy đủ các công cụ tấn công mới được xác định. Hoạt động này cho thấy sự tiến bộ trong khả năng mạng của Triều Tiên, với các nhà nghiên cứu xác nhận việc triển khai bảy họ phần mềm độc hại khác nhau được thiết kế đặc biệt cho chiến dịch này. Theo đánh giá chi tiết của Mandiant về mối đe dọa, hoạt động này đánh dấu sự mở rộng đáng kể so với các hoạt động trước đó của nhóm, cho thấy họ đã đầu tư liên tục vào việc phát triển hạ tầng tấn công tinh vi nhằm vào lĩnh vực fintech.

Bảy họ phần mềm độc hại được thiết kế để trích xuất dữ liệu

Bộ công cụ phần mềm độc hại mới phát hiện gồm SILENCELIFT, DEEPBREATH và CHROMEPUSH—ba biến thể đặc biệt nguy hiểm được thiết kế để vượt qua các lớp phòng thủ bảo mật hiện đại. CHROMEPUSH và DEEPBREATH được thiết kế đặc biệt để vượt qua các biện pháp bảo vệ hệ điều hành quan trọng và thu thập thông tin cá nhân nhạy cảm từ các hệ thống bị xâm nhập. Những công cụ này thể hiện bước tiến đáng kể trong khả năng kỹ thuật của Triều Tiên, cho phép các hacker trích xuất dữ liệu máy chủ và thông tin đăng nhập của nạn nhân trong khi tránh các cơ chế phát hiện điểm cuối truyền thống.

Chiến thuật xã hội tinh vi dựa trên AI và ClickFix

Ngoài việc triển khai phần mềm độc hại, hoạt động liên quan đến Triều Tiên còn tận dụng các chiến thuật xã hội tinh vi kết hợp công nghệ AI với các phương pháp lừa đảo truyền thống. Chiến dịch khai thác các tài khoản Telegram bị xâm phạm để thiết lập lòng tin giả với mục tiêu, sau đó nâng cao bằng cách tổ chức các cuộc họp Zoom giả mạo có video deepfake do AI tạo ra của các cá nhân hợp pháp. Nạn nhân sau đó bị thao túng để thực hiện các lệnh ẩn qua các cuộc tấn công ClickFix—một kỹ thuật lừa người dùng chạy mã độc hại dưới dạng các bản vá lỗi hệ thống hoặc cảnh báo bảo mật hợp lệ. Phương pháp đa lớp này kết hợp trí tuệ nhân tạo, trộm cắp thông tin xác thực và tâm lý học cho thấy các mối đe dọa đang tiến xa hơn so với các chiến dịch chỉ dựa vào phần mềm độc hại truyền thống.