Загроза криптовалюти, пов’язана з Північною Кореєю: Google Mandiant викриває просунуту кампанію зловмисного програмного забезпечення

Мандіант, підрозділ кібербезпеки, який працює під керівництвом Google Cloud, виявив швидко зростаючу загрозу, пов’язану з Північною Кореєю, яка цілеспрямовано націлена на криптовалютні біржі та фінтех-платформи. Це відкриття означає значне розширення зловмисної діяльності, яку дослідники безпеки відстежують з 2018 року. Група зловмисників, позначена як UNC1069, є однією з найскладніших кампаній, що загрожують криптовалютній індустрії, використовуючи передові інструменти та технології штучного інтелекту для компрометації компаній, що працюють з цифровими активами.

Семь сімей шкідливого програмного забезпечення, спрямованих на крадіжку даних

Розслідування виявило високорозвинену координацію вторгнення, що призвело до розгортання семи різних сімей шкідливого ПЗ, кожне з яких має специфічні можливості збору даних. Серед них три нові штами привернули особливу увагу дослідників безпеки:

• SILENCELIFT: Витончене шкідливе ПЗ, створене для встановлення стійких каналів командування та контролю
• DEEPBREATH: Передове шкідливе ПЗ, розроблене для обходу критичних механізмів безпеки операційної системи та витягання конфіденційної інформації
• CHROMEPUSH: Інструмент, спеціально створений для витоку облікових даних та особистої інформації жертви, уникаючи систем виявлення

Згідно з детальним звітом Мандіант, ці варіанти шкідливого ПЗ свідчать про цілеспрямоване розширення можливостей зловмисників, демонструючи передові техніки зворотного інжинірингу та глибоке розуміння операційних систем Windows і macOS.

Глибокі фейки, створені штучним інтелектом, та соціальна інженерія ClickFix

Що робить цю кампанію особливо небезпечною, так це інтеграція штучного інтелекту у тактики соціальної маніпуляції. Зловмисники зламали легітимні акаунти у Telegram і організували складні фальшиві зустрічі у Zoom з використанням AI-генерованих глибоких фейків довірених осіб. Це значно підвищує ймовірність успіху соціальної інженерії, спрямованої на криптовалютні компанії.

Кампанія також використовувала техніку, відому як атаки ClickFix, коли жертви маніпулюють для виконання прихованих системних команд через нібито легітимні взаємодії. Цей підхід обходить традиційне навчання з безпеки та експлуатує людську психологію, а не технічні вразливості.

Наслідки для криптоіндустрії

Цільова орієнтація на криптовалютні та фінтех-компанії свідчить про те, що зловмисники, пов’язані з Північною Кореєю, продовжують ставити крадіжку цифрових активів у пріоритет. Це становить безпосередню загрозу для користувачів бірж, торгових платформ і провайдерів блокчейн-інфраструктури по всьому світу.

Командам безпеки, що керують криптовалютними платформами, слід негайно:

• Перевірити політики захисту кінцевих точок від передових постійних загроз
• Впровадити багатофакторну автентифікацію на всіх критичних системах
• Провести навчання з безпеки, зосереджене на соціальній інженерії з використанням ШІ
• Моніторити ознаки компрометації, пов’язані з сім’ями шкідливого ПЗ UNC1069

Ця ескалація загрози підкреслює критичну важливість збереження пильності у кібербезпеці в криптовалютній індустрії та впровадження стратегій багаторівневого захисту для охорони цифрових активів і даних користувачів від державних спонсорованих зловмисників.