与朝鲜有关的 UNC1069 使用 AI 诱饵攻击加密货币组织
I’m happy to translate the article for you, but I’ll need the full text you’d like translated. Could you please paste the content (excluding the source line you already provided) here? Once I have the text, I’ll translate it into Simplified Chinese while preserving the original formatting and markdown.
背景
- UNC1069 自 至少2018年4月起活跃(参见 assessment)。
- 该组织也以 CryptoCore 和 MASAN 为别名被追踪。
- 它经常开展社交工程活动以获取财务收益,使用伪造会议邀请并在 Telegram 上冒充投资者。
在2023年11月的报告中,Google 威胁情报小组(GTIG)强调该行为者使用 生成式 AI 工具(如 Gemini) 来制作诱饵材料以及其他与加密货币相关的消息用于其活动(source)。
最近活动
- 该组织已开始 滥用 Gemini 来开发窃取加密货币的代码,并生成模仿行业人物的深度伪造图像/视频。
- 这些诱饵被用于分发名为 BIGMACHO 的后门,伪装成 Zoom 软件开发工具包(SDK)。
- 自 2023 年起,UNC1069 已将重点从传统金融(TradFi)转向 Web 3 生态系统,目标包括中心化交易所(CEX)、金融机构的软件开发者、高科技公司以及风险投资人士。
在 Google 威胁情报部门记录的最新入侵中,UNC1069 部署了 多达七个不同的恶意软件家族,其中包括三个新识别的家族:
| 新恶意软件家族 | 描述 |
|---|---|
| SILENCELIFT | (细节待补) |
| DEEPBREATH | (细节待补) |
| CHROMEPUSH | (细节待补) |
攻击流程
-
初始接触 – 受害者在 Telegram 上被冒充风险投资家的行为者(或偶尔是合法企业家被入侵的账户)接触。
-
安排会议 – 攻击者发送一个 Calendly 链接,以安排 30 分钟的会面。
-
钓鱼登录页面 – Calendly 链接会将受害者重定向到一个 伪造的 Zoom 网站 (
zoom.uswe05[.]us)。该 URL 常常隐藏在 Telegram 的超链接功能中。 -
伪造视频通话界面 – 页面模拟 Zoom 通话,提示受害者开启摄像头并输入姓名。
- 所显示的视频可能是 深度伪造,也可能是从之前受害者处获取的真实录制。
- 卡巴斯基将此活动归类为 GhostCall(记录于 2025 年 10 月)。
“他们的摄像头画面在不知情的情况下被录制,然后上传到攻击者控制的基础设施,并被重复使用来欺骗其他受害者,使其相信自己正参与一次真实的实时通话,” – 卡巴斯基。
-
错误提示 & ClickFix – 通话结束后,会出现一个关于音频问题的虚假错误提示,诱导受害者运行 ClickFix‑style 故障排除命令。
- Windows – 执行 PowerShell/命令行载荷,投放恶意后门。
- macOS – 运行 AppleScript,投放恶意 Mach‑O 二进制文件。
观察到的恶意软件与工具
| 恶意软件家族 | 平台 | 主要功能 |
|---|---|---|
| BIGMACHO | Windows/macOS | 后门;通过伪造的 Zoom SDK 交付 |
| SILENCELIFT | (未披露) | (待定) |
| DEEPBREATH | (未披露) | (待定) |
| CHROMEPUSH | (未披露) | (待定) |
| ClickFix | Windows/macOS | 社会工程学“故障排除”工具 |
| GhostCall | (追踪名称) | 同一活动,不同供应商标签 |
缓解建议
| 建议 | 细节 |
|---|---|
| 用户意识 | 培训员工通过官方渠道验证会议链接;不鼓励点击未经请求的 Telegram 消息中的链接。 |
| URL 检查 | 将鼠标悬停在链接上以显示实际目标;在访问前使用 URL 声誉服务。 |
| 多因素身份验证 (MFA) | 在所有特权账户上强制使用多因素身份验证(MFA),尤其是能够访问加密货币钱包或交易所 API 的账户。 |
| 终端防护 | 部署能够检测列出的恶意软件家族以及可疑 PowerShell/AppleScript 活动的 EDR 解决方案。 |
| 网络分段 | 将处理加密相关操作的系统与一般企业网络隔离。 |
| 补丁管理 | 保持 Zoom、macOS、Windows 以及所有第三方软件的最新状态,以降低漏洞攻击面。 |
| 威胁情报源 | 订阅能够标记 UNC1069、CryptoCore、MASAN 和 GhostCall 相关妥协指示器(IOC)的情报源。 |
概览
WAVESHAPER 是一个恶意的 C++ 可执行文件,负责收集系统信息并分发代号为 HYPERCALL 的 Go 语言下载器。随后 HYPERCALL 用于投放其他负载:
- HIDDENCALL – 一个 Golang 后门组件,提供对受感染系统的键盘直接访问,并部署名为 DEEPBREATH 的 Swift 数据采集器。
- SUGARLOADER – 第二个 C++ 下载器,用于投放 CHROMEPUSH。
- SILENCELIFT – 一个极简的 C/C++ 后门,将系统信息发送至指挥控制(C2)服务器。
DEEPBREATH
DEEPBREATH 操纵 macOS 的透明度、同意与控制(TCC)数据库,以获取文件系统访问权限,从而窃取:
- iCloud 钥匙串凭证
- Google Chrome、Brave 和 Microsoft Edge 的数据
- Telegram 消息
- Apple Notes
CHROMEPUSH
CHROMEPUSH 同样是数据窃取工具,使用 C++ 编写,并作为 Google Chrome 与 Brave 的浏览器扩展进行部署。它伪装成离线编辑 Google Docs 的工具,能够:
- 记录按键
- 监视用户名和密码输入
- 提取浏览器 Cookie
“单台主机上部署的大量工具表明攻击者极其坚定地收集凭证、浏览器数据和会话令牌,以实现金融盗窃,”Mandiant 表示。“虽然 UNC1069 通常针对加密货币初创公司、软件开发者和风险投资公司,但在已知下载器 SUGARLOADER 旁边部署多个新型恶意软件家族,标志着其能力的显著扩展。”
保持关注: 获取更多独家内容