安全警示：與北韓相關的駭客標誌新惡意軟體攻擊活動，針對加密貨幣公司

一個被歸因於北韓的高級網絡行動已被揭露，針對加密貨幣和金融科技公司，使用先進的惡意軟體和人工智慧驅動的社交工程技術。Mandiant，谷歌雲的威脅情報部門，已記錄這一不斷升級的威脅集群，命名為UNC1069，揭示了自2018年首次被研究人員發現以來活動的劇烈擴展。

Mandiant 揭露 UNC1069：北韓不斷演變的網絡能力

Mandiant的調查發現了一個針對性入侵行動，部署了七種不同的惡意軟體變體，每一種都為特定的數據收集和外洩目的而設計。在新識別的工具中，包括CHROMEPUSH和DEEPBREATH，旨在繞過關鍵的操作系統安全機制，提取敏感的主機和受害者資訊。與此同時，研究人員還記錄了SILENCELIFT等多個惡意軟體家族，代表一個協調一致且全面的攻擊基礎設施。

根據Mandiant的技術評估：「這次調查揭示了一次定制的入侵，部署了七個獨特的惡意軟體家族，包括一套新工具，用於捕捉主機和受害者資料：SILENCELIFT、DEEPBREATH和CHROMEPUSH。」這種多樣化的工具包顯示出一個資源充足、技術高度成熟且擁有專業開發能力的威脅行動者。

先進的社交工程與AI生成的欺騙

這個與北韓相關的行動利用被攻陷的Telegram帳戶作為初步聯繫的媒介，同時策劃了配有AI生成深偽影片內容的假Zoom會議。這種多層次的欺騙策略代表了社交操控手段的顯著升級。受害者被系統性地操控，執行隱藏的指令，研究人員稱之為ClickFix攻擊——一種注入隱藏指令、在用戶不知情的情況下執行的技術。

人工智慧融入社交工程方法，展示了威脅行動者如何持續適應並武器化新興技術。深偽影片的部分尤其凸顯了這次行動的高階程度，讓追蹤責任歸屬和受害者驗證變得越來越困難。

對加密貨幣產業的影響

針對加密貨幣和金融科技公司的有意識形態，提出了關於北韓在數字資產基礎設施和敏感金融數據方面的戰略利益的關鍵問題。這些行動暗示潛在的目的包括：

• 憑證收集，以在企業網絡內進行橫向移動
• 區塊鏈交易數據，用於情報收集或勒索行動
• 個人身份資料，可能促成進一步的破壞或間諜活動

在加密領域運作的公司被標記為北韓網絡攻擊的優先目標，需提高警覺並加強安全措施。自2018年以來，這次行動的持續性和不斷演變表明，這不是一個暫時的威脅，而是對手長期的戰略重點。

組織應考慮的措施

UNC1069行動凸顯了員工安全意識培訓的重要性，特別是針對深偽影片的偵測和對突發通信的驗證流程。多因素認證、端點偵測與響應能力，以及持續監控已識別的惡意軟體簽名，都是必要的防禦措施。隨著北韓的網絡行動持續成熟並擴大目標範圍，加密貨幣公司必須將這一威脅環境視為一個積極且迫切的優先事項。