Предупреждение о безопасности: Хакеры, связанные с Северной Кореей, запустили новую кампанию по распространению вредоносного ПО, нацеленную на криптовалютные компании

Сложная кибероперация, приписываемая Северной Корее, была раскрыта: она нацелена на компании в области криптовалют и финтеха с использованием передового арсенала вредоносного ПО и методов социальной инженерии на базе искусственного интеллекта. Отдел разведки угроз Google Cloud — Mandiant — зафиксировал этот растущий кластер угроз, обозначенный как UNC1069, продемонстрировав значительное расширение деятельности, впервые обнаруженной исследователями в 2018 году.

Mandiant обнаруживает UNC1069: эволюция киберспособностей Северной Кореи

Расследование Mandiant выявило целенаправленную кампанию вторжений, в рамках которой использовался набор из семи различных вариантов вредоносного ПО, каждое из которых предназначено для сбора и вывода данных. Среди новых инструментов — CHROMEPUSH и DEEPBREATH, разработанные для обхода критических механизмов безопасности операционной системы и извлечения конфиденциальной информации о хостах и жертвах. Вместе с ними исследователи зафиксировали семейства вредоносных программ SILENCELIFT и другие, что свидетельствует о скоординированной и комплексной инфраструктуре атаки.

По данным технической оценки Mandiant: «Это расследование выявило целенаправленное вторжение, в ходе которого было задействовано семь уникальных семейств вредоносного ПО, включая новый набор инструментов для захвата данных о хостах и жертвах: SILENCELIFT, DEEPBREATH и CHROMEPUSH». Такой разнообразный набор инструментов указывает на хорошо подготовленного злоумышленника с высоким уровнем технической компетентности и доступом к специализированным разработкам.

Передовая социальная инженерия и AI-генерируемое обманное воздействие

Кампания, связанная с Северной Кореей, использовала скомпрометированные аккаунты Telegram для первоначального контакта, одновременно организуя поддельные видеоконференции Zoom, дополненные AI-сгенерированным deepfake-видео. Такой многоуровневый подход к обману представляет собой заметное усиление тактик социальной манипуляции. Жертв систематически вводили в заблуждение, заставляя выполнять скрытые команды через так называемые атаки ClickFix — технику внедрения скрытых инструкций, выполняющихся вне осведомленности пользователя.

Интеграция искусственного интеллекта в методологию социальной инженерии демонстрирует, как злоумышленники продолжают адаптироваться и использовать новые технологии в своих целях. Особенно выделяется использование deepfake-видео, что усложняет атрибуцию и проверку жертв для целевых организаций.

Последствия для индустрии криптовалют

Целенаправленное нападение на компании в сфере криптовалют и финтеха вызывает важные вопросы о стратегических интересах Северной Кореи в инфраструктуре цифровых активов и конфиденциальных финансовых данных. Эти операции предполагают возможный интерес к:

• Краже учетных данных для перемещения внутри корпоративных сетей
• Данных о транзакциях в блокчейне для разведки или вымогательства
• Личных идентификационных данных, которые могут использоваться для дальнейших компрометаций или шпионажа

Компании, работающие в криптоиндустрии, считаются приоритетными целями в киберподборке Северной Кореи, что требует повышенной бдительности и усиления мер безопасности. Упорство кампании с 2018 года и её продолжающаяся эволюция свидетельствуют о том, что это не временная угроза, а стратегический приоритет для противника.

Что должны учитывать организации

Кампания UNC1069 подчеркивает важность обучения сотрудников распознаванию deepfake и проверке неожиданных сообщений. Многофакторная аутентификация, средства обнаружения и реагирования на конечных точках, а также постоянный мониторинг по признакам вредоносного ПО — необходимые меры защиты. По мере развития киберопераций Северной Кореи и расширения их целей, компании в сфере криптовалют должны рассматривать эту угрозу как актуальную и немедленную.