Киберугроза, связанная с Северной Кореей, выявила расширенную кампанию по распространению криптомалвари

Отдел разведки угроз Google Cloud отметил сложную и быстро развивающуюся кибероперацию, связанную с Северной Кореей, нацеленную на криптовалютные и финтех-компании с использованием мощного арсенала вредоносного ПО и методов социальной инженерии с применением ИИ. Группа угроз, обозначенная как UNC1069, представляет собой значительное усиление деятельности, впервые зафиксированной в 2018 году, с расширенными возможностями и более целенаправленными подходами.

Mandiant обнаружила семь различных вариантов вредоносного ПО в расширяющейся операции UNC1069

Расследование, проведённое Mandiant в рамках отдела безопасности Google Cloud, выявило кампанию вторжений, использующую семь различных семейств вредоносных программ, специально разработанных для сбора и кражи конфиденциальных данных из целевых организаций. Согласно официальному отчету, «Это расследование выявило сложную операцию вторжений с использованием семи уникальных наборов вредоносных инструментов, включая недавно обнаруженные варианты, предназначенные для захвата информации о системе и учетных данных жертв: SILENCELIFT, DEEPBREATH и CHROMEPUSH».

Особое внимание заслуживают два недавно обнаруженных штамма вредоносного ПО. CHROMEPUSH и DEEPBREATH представляют собой технические прорывы в арсенале злоумышленников, разработанные для обхода критических защит операционной системы и извлечения личных и финансовых данных с скомпрометированных систем.

ИИ-генерированные дипфейки и атаки ClickFix усиливают успех социальной инженерии

Кампания, связанная с Северной Кореей, демонстрирует сложное использование искусственного интеллекта для повышения эффективности социальной инженерии. Злоумышленники взломали легитимные аккаунты Telegram и организовали сложные фальшивые встречи в Zoom с использованием ИИ-сгенерированных дипфейков — значительный шаг вперёд в киберпреступной тактике. Жертвам манипулировали, заставляя выполнять скрытые вредоносные команды через так называемые атаки ClickFix, которые используют доверие пользователя и кажущуюся легитимность для обхода систем защиты.

Почему Северная Корея нацелена на инфраструктуру криптовалют и финтеха

Фокус на криптовалютных и финтех-компаниях отражает более широкие геополитические стратегии. Эти сектора имеют критическую ценность как для финансовых краж, так и для сбора разведывательной информации. Базовая активность с 2018 года свидетельствует о зрелой, долгосрочной кампании с развитой инфраструктурой и устоявшимися методами целеуказания.

Новые возможности вредоносного ПО свидетельствуют о росте технической сложности

Помимо семейств вредоносных программ, упомянутых в публичных сообщениях, сложность этих инструментов — особенно их способность обходить защиты операционной системы — указывает на постоянное развитие технических возможностей злоумышленников, связанных с Северной Кореей. Совокупность семи различных семейств вредоносных программ предполагает модульный подход к атакам, позволяющий операторам адаптировать инструментарий под разные цели и окружения жертв.

Обнаружение этой кампании подчеркивает растущую угрозу, которую представляет Северная Корея для глобальной экосистемы финансовых технологий, и подчеркивает необходимость усиления защиты криптовалютных и финтех-организаций против угроз со стороны государств-агрессоров.