北韓因針對金融科技部門的複雜加密貨幣惡意軟體活動而被標記

谷歌雲端的Mandiant部門的安全研究人員揭露了一個與北韓相關的協調性網絡攻擊行動，該行動正積極針對加密貨幣和金融科技公司。該威脅集群，命名為UNC1069，代表著自2018年首次偵測到活動以來的一次重大升級，現正部署一系列惡意工具，結合先進的社交工程技術，以突破數位資產領域的高價值目標。

UNC1069威脅集群——一個持續的北韓相關行動

Mandiant的調查揭示了一個精心策劃的入侵行動，該行動引入了一整套新識別的攻擊工具。這次行動展現了北韓網絡能力的演進，研究人員確認部署了七個不同的惡意軟體家族，專為此行動量身打造。根據Mandiant的詳細威脅評估，這次活動較該團體之前的行動有顯著擴展，顯示其在開發針對金融科技行業的高階攻擊基礎設施方面持續投入。

七個為資料竊取而設計的惡意軟體家族

新發現的惡意軟體工具包包括SILENCELIFT、DEEPBREATH和CHROMEPUSH——三個特別危險的變體，旨在突破現代安全防禦。CHROMEPUSH和DEEPBREATH專門設計用來繞過關鍵的作業系統保護，並從受感染的系統中竊取敏感個人資訊。這些工具代表北韓技術能力的一大進步，使攻擊者能在避開傳統端點偵測機制的同時，提取主機資料和受害者憑證。

AI驅動的社交工程與ClickFix策略

除了純粹的惡意軟體部署外，與北韓相關的行動還運用了結合AI技術與傳統釣魚手法的高階社交工程策略。該行動利用被攻陷的Telegram帳號建立與目標的虛假信任，然後升級到安排包含AI生成深偽影片的虛假Zoom會議，模擬合法人士的形象。受害者隨後被操控執行隱藏的指令，透過ClickFix攻擊——一種誘使用戶執行偽裝成系統修復或安全提示的惡意程式碼的技術。這種結合人工智慧、憑證竊取與心理操控的多層次策略，展現了威脅行為者正超越傳統純惡意軟體攻擊的演進。