UNC1069、新たなツールとAI主導のソーシャルエンジニアリング攻撃で金融企業を標的に

最近のMandiantの調査によると、北朝鮮の脅威アクターUNC1069は、高度なAI搭載のソーシャルエンジニアリング手口と7種類の異なるマルウェアファミリーを用いて、暗号資産および分散型金融（DeFi）分野に対する攻撃をエスカレートさせている。

2018年から活動している金銭目的の同グループは、FinTech企業を狙った標的型侵入において、SILENCELIFT、DEEPBREATH、CHROMEPUSHと名付けられた新たに発見されたマルウェアを含む、前例のないツール群を投入した。

攻撃は、暗号資産企業の幹部が所有するTelegramアカウントが侵害されたことから始まった。

UNC1069は被害者との信頼関係を築いた後、Calendlyのスケジュールリンクを送付し、攻撃者が管理するインフラ上（zoom[.]uswe05[.]us）でホストされた偽のZoom会議へ誘導した。

偽のビデオ通話中、被害者は別の暗号資産企業のCEOになりすましたAI生成のディープフェイクに遭遇したと報告されているが、MandiantはAIが使用されたことを独自に検証できなかった。

このソーシャルエンジニアリングの手口では、ClickFix攻撃手法が用いられた。これは、技術的問題のトラブルシューティングを装って、ユーザーに悪意あるコマンドを実行させるよう脅威アクターが誘導するものだ。

偽の会議では被害者に音声の問題があるように見せかけ、「トラブルシューティング」コマンドの実行を促したが、実際にはそれが感染チェーンの開始となった。

高度なマルウェア兵器庫

Mandiantは侵入中に展開された7つの固有のマルウェアファミリーを発見し、既知のツールはSUGARLOADERのみだった。

新たなマルウェアにはDEEPBREATHが含まれ、SwiftベースのデータマイナーとしてmacOSのTransparency, Consent, and Control（TCC）データベースを操作し、Keychainから認証情報、Chrome／Brave／Edgeからブラウザデータ、TelegramおよびApple Notesからユーザー情報を窃取する。

C++で書かれたデータマイナーCHROMEPUSHは、Googleドキュメントのオフラインエディタを装ったブラウザ拡張機能として自己インストールし、キーストローク、ユーザー名とパスワードの入力、ブラウザCookieを取得した。

バックドアSILENCELIFTは、ホスト情報をコマンド＆コントロール（C2）サーバーへビーコン送信しつつ、root権限で実行された場合にTelegram通信を中断できる能力も維持していた。

進化する戦術と標的設定

ClickFix攻撃は脅威環境全体でますます一般的になっており、攻撃者は偽のエラーメッセージやCAPTCHA検証プロンプトを用いて、ユーザー自身に悪意あるコードを実行させるよう操作している。

注目すべき点として、UNC1069は2025年において、UNC4899のような他グループと比べると暗号資産強奪への影響は小さいものの。

UNC1069は従来のスピアフィッシングから、より高度なWeb3業界の標的化へ移行しており、中央集権型取引所、金融機関のソフトウェア開発者、ベンチャーキャピタル企業に焦点を当てている。

同グループは、マルウェア開発、オペレーション調査、偵察のために、GeminiのようなAIツールを活用している。

単一ホストに展開されたツール群の膨大な量は、暗号資産窃取および、盗まれた被害者の身元を用いた将来のソーシャルエンジニアリングキャンペーンのために、認証情報、ブラウザデータ、セッショントークンを収集しようとするUNC1069の強い意図を示している。

侵害指標（IoC）