北朝鮮と関連する脅威アクターは、暗号通貨と分散型金融(DeFi)ターゲットに対する攻撃手法を継続的に洗練させています。
最近のインシデント対応ケースにおいて、Mandiant は FinTech 組織への侵入を UNC1069 によるものと特定しました。UNC1069 は、少なくとも 2018 年から活動している金銭目的のアクターで、単一の侵害で 7 つのマルウェアファミリーが展開されたことが観測されました。これは、認証情報、ブラウザデータ、セッショントークンを盗んで金銭的窃取を行うことを目的とした異例に重厚なツールセットです。
攻撃は Telegram でのソーシャルエンジニアリングから始まりました。被害者は、暗号通貨の幹部のアカウントと思われるものから連絡を受けましたが、そのアカウントは侵害されていたと考えられています。
信頼関係を構築した後、攻撃者は「30 分間のミーティング」のための Calendly 招待を送信しましたが、それは攻撃者のインフラストラクチャ上にホストされた偽装 Zoom サイトへと誘導するものでした。
通話中、被害者は著名な CEO の AI 生成のディープフェイク動画と思われるものを見たと報告しました。
Mandiant は、利用可能なフォレンジックアーティファクトを使用してディープフェイクを独立して検証することはできなかったと述べています。しかし、このシナリオは AI 支援による誘導に関する広範な報告と一致しています。
偽のミーティングは、その後 ClickFix スタイルのトリックを仕掛けました。被害者は音声に問題があると告げられ、「トラブルシューティング」コマンドを実行するよう誘導されました。
そのコピー&ペーストブロックの中に隠されていたのは、macOS 上で感染を開始する実際のペイロード実行ステップでした(そして Windows 用の並列チェーンも準備されていました)。
macOS では、初期段階に WAVESHAPER(バックドア)と HYPERCALL(ダウンローダー)が含まれており、HIDDENCALL を介した実践的な活動を可能にし、その後、既知のダウンローダー SUGARLOADER と追加ツールを展開しました。
この作戦は、Google Threat Intelligence Group によって文書化された傾向を反映しています。アクターは「生産性のための AI」から、実際のキャンペーンで直接使用される AI 対応の誘導と欺瞞へと移行しています。
翻訳元: https://cyberpress.org/unc1069-targets-finance-with-ai/