北朝鮮のハッキングキャンペーンが、ソーシャルエンジニアリング、ディープフェイク、MacOSマルウェアを組み合わせた攻撃で金融技術および暗号資産企業を標的にしています。
この攻撃はGoogle CloudのMandiant Threat Intelligenceによって詳細が報告されており、北朝鮮を拠点とする金銭的動機を持つ脅威グループUNC1069によるものとされています。攻撃の最終目標は暗号資産の窃取です。
研究者は、暗号資産企業の幹部のTelegramプロフィールが乗っ取られたことから始まったキャンペーンを特定しました。この個人は以前にアカウントが侵害されていました。
このアカウントは、フィンテックセクターの他の人々に信頼と親密さを築くためにメッセージを送るために使用されました。その後、攻撃者は会議に参加するためのカレンダー招待を送信しました。
この会議はZoomのように見えるように設計されていましたが、実際には攻撃者が構築したインフラストラクチャ上でホストされていました。Mandiantによると、ある標的は通話に参加した後、暗号資産企業幹部のディープフェイクに直面したと述べています。
研究者はこれを検証することはできませんでしたが、AI支援によるソーシャルエンジニアリング詐欺が既知の問題であることを指摘しています。
会議に参加した後、攻撃者は被害者に音声の問題があると主張し、解決策を提供しました。
しかし、この策略はClickFix攻撃であり、攻撃者が技術的な問題の主張とともに使用する手法で、被害者を騙してマシン上でコマンドを実行させ、密かに攻撃者にアクセスとコード実行能力を提供します。
アクセスを得た攻撃者は、デバイスに悪意のあるファイルをドロップすることができ、WaveshaperとHypercallという2つのバックドアの形でそれを実行しました。これらは攻撃者がさらなる制御を得ることを可能にしました。
次に、情報窃取マルウェアとデータマイナー(DeepbreathとCHROMEPUSH)をインストールして、マシンに対するさらなる制御と永続性を獲得しました。
これには、ユーザーのKeychainから認証情報を盗む能力、Chrome、Brave、Edgeからブラウザデータを盗む能力、2つの異なるバージョンのTelegramからユーザーデータを盗む能力、Apple Notesからユーザーデータを盗む能力が含まれていました。
最終的に、攻撃者が被害者のアカウントにアクセスするために必要なすべてのログイン認証情報とパスワードを取得でき、被害者から盗むか、追加のソーシャルエンジニアリングのためにこれらのアカウントを使用することができます。
「単一のホストに展開されたツールの量は、金融窃取を容易にするために認証情報、ブラウザデータ、セッショントークンを収集する非常に決意の固い取り組みを示しています」とMandiantは述べています。
「このインシデントは、二重の目的のために可能な限り多くのデータを収集するための標的型攻撃でした。暗号資産の窃取を可能にし、被害者のアイデンティティとデータを活用して将来のソーシャルエンジニアリングキャンペーンに燃料を供給することです」と同社は付け加えました。
国家支援の北朝鮮脅威グループは、重大な暗号資産強奪および金融技術の組織を標的とする攻撃の歴史があります。
2025年だけで、北朝鮮は暗号資産を標的とした攻撃から20億ドル以上を稼ぎ、昨年盗まれたすべての暗号資産の60%以上を占めています。
翻訳元: https://www.infosecurity-magazine.com/news/north-korea-hackers-deepfake-crypto/
