北朝鲜黑客的最新攻击手法
与北朝鲜相关的黑客继续利用实时视频通话,包括人工智能生成的深度伪造视频,来欺骗加密货币开发者和从业者在其设备上安装恶意软件。BTC Prague的联合创始人马丁·库哈尔(Martin Kuchař)最新披露的案例中,攻击者使用了一个被入侵的Telegram账户和伪装的视频通话,试图推送伪装成Zoom音频修复程序的恶意软件。
攻击过程详解
库哈尔在周四的X平台上表示,这一“高级黑客活动”似乎正针对比特币和加密货币用户。攻击者联系受害者并安排Zoom或Teams通话,库哈尔解释道。在通话中,他们使用AI生成的视频假装成受害者认识的人。然后,他们声称存在音频问题,并要求受害者安装一个插件或文件来修复它。
一旦安装,恶意软件便会授予攻击者完全的系统访问权限,使他们能够窃取比特币、接管Telegram账户,并利用这些账户进一步攻击他人。
加密货币损失的上升
根据区块链分析公司Chainalysis的数据,随着AI驱动的冒充诈骗不断增加,2025年与加密货币相关的损失已达到创纪录的170亿美元。
攻击者越来越多地使用深度伪造视频、声音克隆和虚假身份来欺骗受害者并获取资金。库哈尔描述的攻击与网络安全公司Huntress首次记录的技术非常相似。Huntress在去年7月报告称,这些攻击者在Telegram上初步联系后,诱骗目标加密货币从业者进入伪装的Zoom通话,通常使用伪造的Zoom域名托管的假会议链接。
恶意软件的影响
在通话中,攻击者声称存在音频问题,并指示受害者安装看似与Zoom相关的修复程序,实际上是一个恶意的AppleScript,启动多阶段的macOS感染。根据Huntress的说法,一旦执行,该脚本会禁用shell历史记录,检查或安装Apple Silicon设备上的Rosetta 2(翻译层),并反复提示用户输入系统密码以获得提升的权限。
研究发现,恶意软件链安装多个有效载荷,包括持久后门、键盘记录和剪贴板工具,以及加密钱包窃取程序,这与库哈尔周一披露他的Telegram账户被入侵并随后用于以相同方式攻击他人的情况相似。
与Lazarus Group的关联
Huntress的安全研究人员高度自信地将此次入侵归因于与北朝鲜相关的高级持续威胁,追踪代号为TA444,也称为BlueNoroff,以及在Lazarus Group这一国家支持的以加密货币盗窃为重点的团体下的多个别名,自2017年以来一直活跃。
关于这些活动的操作目标以及是否存在相关性,区块链安全公司Slowmist的首席信息安全官张珊(Shān Zhang)在接受Decrypt采访时表示,库哈尔的最新攻击“可能”与Lazarus Group的更广泛活动有关。
Gonka去中心化AI计算网络的共同创始人大卫·利伯曼(David Liberman)告诉Decrypt:“我们在不同活动中明显看到重用现象。我们持续观察到特定钱包的目标和非常相似的安装脚本。”利伯曼表示,图像和视频“再也不能被视为可靠的真实性证明”,并补充说,数字内容“应由其创作者进行加密签名,并且这些签名应要求多因素授权。”
在这种情况下,叙事已成为“跟踪和检测的重要信号”,因为这些攻击“依赖于熟悉的社会模式”。北朝鲜的Lazarus Group与针对加密公司、从业者和开发者的活动有关,利用定制的恶意软件和复杂的社会工程手段窃取数字资产和访问凭证。
