Google Cloud 警示與北韓相關的加密貨幣活動升級

Mandiant，Google Cloud的威脅情報部門，揭露了一個來自北韓的高級且不斷擴大的網絡行動，專門針對加密貨幣和金融科技公司。該威脅集團被命名為UNC1069，較2018年首次偵測到的活動有了顯著升級，新的攻擊活動展現出極大進步的策略和操作能力，旨在破壞敏感金融數據和數字資產。

為目標攻擊而設計的七大惡意軟體家族

Mandiant的安全研究人員調查揭示了一個全面的入侵框架，部署了七個不同的惡意軟體家族，專為收集和外洩受害者資料而設計。在這些新識別的工具中，有三個特別高級的變體：SILENCELIFT、DEEPBREATH和CHROMEPUSH。後兩者在攻擊者的武器庫中代表技術突破，專門設計用來繞過核心作業系統安全防護，並從受感染的系統中提取個人和金融資訊。這些惡意軟體變體凸顯了北韓相關團體多年來在密碼學專案中的技術成熟度。

AI加持的社交工程與ClickFix攻擊手法

除了傳統的惡意軟體傳播外，UNC1069活動還運用了前沿的欺騙策略，模糊了技術攻擊與人為攻擊的界線。威脅行動者利用被破壞的Telegram帳號，策劃了結合AI生成深偽影片技術的虛假Zoom會議。這些高階的社交工程手法巧妙誘使受害者執行隱藏的指令，透過所謂的ClickFix攻擊——一種操控用戶在不知情的情況下促使系統被攻破的技術。人工智慧能力與社交工程的結合，展現出北韓對加密貨幣產業的網絡行動中令人擔憂的趨勢。

長期威脅的演變：從2018年監控到現今擴展

Mandiant的發現凸顯北韓對加密貨幣基礎設施的網絡攻擊持續演進與升級。從2018年開始的可疑活動監控，已演變成一個具有擴展工具、精細技術和持續追蹤高價值金融科技與數字資產公司的全面攻勢。這些與北韓相關的威脅行動者在追蹤加密貨幣目標上的堅持，反映出這些實體對於政權的戰略重要性，以及在網絡安全領域中持續的貓捉老鼠遊戲。