北朝鲜关联组织UNC1069使用AI诱饵攻击加密货币机构

已观察到与北朝鲜关联的威胁行为体UNC1069针对加密货币行业进行攻击，窃取Windows和macOS系统中的敏感数据，以实现金融盗窃的最终目的。

该入侵依赖于社交工程手段，包括被劫持的Telegram账号、伪造的Zoom会议、ClickFix感染向量以及使用AI生成的视频来欺骗受害者。

UNC1069自至少2018年4月起活跃，历史上常通过伪造会议邀请、冒充Telegram上知名公司的投资者进行社交工程，以获取财务收益。该组织在安全社区中亦被称为CryptoCore和MASAN。

Google威胁情报组在去年十一月的报告中指出，UNC1069使用生成式AI工具（如Gemini）制作诱饵材料和与加密货币相关的消息，以支持其社交工程活动。

该组织还尝试滥用Gemmini开发用于窃取加密货币的代码，并利用深度伪造的图片和视频冒充加密行业人士，分发名为BIGMACHO的后门程序，伪装成Zoom软件开发工具包（SDK）。

自2023年以来，UNC1069已从针对传统金融（TradFi）的鱼叉式钓鱼转向Web3领域，攻击对象包括中心化交易所（CEX）、金融机构的软件开发者、高科技公司以及风险投资基金的人员。

在最新一次入侵中，UNC1069部署了多达七个独特的恶意软件家族，其中包括新出现的SILENCELIFT、DEEPBREATH和CHROMEPUSH。

攻击流程通常从威胁行为体在Telegram上冒充风险投资人（有时甚至使用真实企业家或创始人的被劫持账号）接触受害者开始，随后使用Calendly安排30分钟的会议。

会议链接会将受害者重定向至伪装成Zoom的假网站（如zoom.uswe05[.]us），链接常通过Telegram的超链接功能隐藏。

受害者点击链接后，会看到一个仿真的Zoom视频通话界面，要求开启摄像头并输入姓名。加入会议后，页面会显示类似真实Zoom会议的画面。

这些视频可能是深度伪造的，也可能是从先前受害者的真实通话中偷偷录制的。Kaspersky将同一活动归类为GhostCall。

随后受害者会看到一个关于音频问题的虚假错误提示，并被诱导下载并运行ClickFix式的故障排除命令。针对macOS的情况下，这些命令会投递AppleScript，进而在系统中放置恶意Mach-O二进制文件。

名为WAVESHAPER的恶意C++可执行文件负责收集系统信息并分发名为HYPERCALL的Go语言下载器，后者进一步提供以下负载：

• HIDDENCALL：基于Go的后门组件，提供键盘访问并部署Swift编写的数据窃取工具DEEPBREATH。
• SUGARLOADER：第二个C++下载器，用于部署CHROMEPUSH。
• SILENCELIFT：简约的C/C++后门，将系统信息发送至指挥控制服务器。

DEEPBREATH能够操控macOS的透明度、同意与控制（TCC）数据库，以获取文件系统访问权限，进而窃取iCloud钥匙串凭证、Google Chrome、Brave、Microsoft Edge、Telegram以及Apple Notes中的数据。

CHROMEPUSH同样是数据窃取工具，采用C++编写，以浏览器扩展形式伪装为离线编辑Google Docs的工具，具备记录键击、捕获用户名密码以及提取浏览器Cookie的能力。

大量工具在单一主机上的部署表明UNC1069在收集凭证、浏览器数据和会话令牌以进行金融盗窃方面具有高度决心。虽然该组织主要针对加密货币初创公司、软件开发者和风险投资机构，但此次部署多种新型恶意软件家族标志着其能力的显著扩展。