Google Cloud 警告朝鲜相关加密货币威胁升级

谷歌云的网络安全部门Mandiant发现了一场源自朝鲜的复杂且不断扩大的网络行动，专门针对加密货币和金融科技公司。该威胁群组被命名为UNC1069，标志着自2018年首次检测到的恶意活动的显著升级，现在已涵盖一系列先进的攻击工具，旨在破坏敏感系统并窃取金融机构的关键数据。

协同行动中部署的七个恶意软件家族

Mandiant的调查显示，与朝鲜有关的操作人员已设计并部署了七个不同的恶意软件家族，专门用来收集、外泄和武器化目标组织的敏感信息。其中，新识别的威胁包括SILENCELIFT、DEEPBREATH和CHROMEPUSH——这些复杂工具旨在绕过操作系统的安全控制，从被攻陷的终端设备中提取个人数据。这些恶意软件变体在技术上较早期工具有所进步，表明朝鲜持续投入开发资源，操作手法日益成熟，特别针对加密行业。

AI生成的深度伪造和社会工程策略

此次行动结合了先进的社会工程技术与AI技术，操控受害者。攻击者劫持了合法的Telegram账户，策划虚假的Zoom会议，会议中播放由AI生成的深度伪造视频——制造出逼真的假冒形象，骗取员工执行隐藏的指令。这种攻击手法，常被称为ClickFix攻击，利用人类信任，制造紧迫感，绕过传统安全意识。这一深度伪造技术的应用，标志着朝鲜网络能力的演进，也显示出国家支持的威胁行为者已开始采用最前沿的攻击手段。

对加密货币行业的影响

此次升级显示朝鲜持续关注破坏加密货币和金融科技基础设施，可能是为了规避国际制裁并获取替代资金来源。多样化的恶意软件家族和复杂的社会工程技术表明，这是一场资源充足、目标明确的行动。加密行业的组织应将其列为优先攻击目标，增强检测能力，并加强员工安全培训，以应对日益复杂的威胁。