北韩黑客利用AI进行复杂攻击
谷歌的安全团队Mandiant近日发出警告,称北韩黑客正在利用人工智能生成的深度伪造技术进行虚假视频会议,以实施对加密货币公司的复杂攻击。Mandiant在周一发布的报告中表示,他们最近调查了一起针对一家金融科技公司的入侵事件,认为该事件与UNC1069(或称“CryptoCore”)有关,这是一种与北韩高度相关的威胁行为者。
攻击手法与技术
此次攻击使用了一个被入侵的Telegram账户、一个伪造的Zoom会议以及一种所谓的ClickFix技术,诱使受害者运行恶意命令。调查人员还发现,AI生成的视频被用来在虚假会议中欺骗目标。报告指出:
“Mandiant观察到UNC1069利用这些技术针对加密货币行业的企业和个人,包括软件公司及其开发者,以及风险投资公司及其员工或高管。”
这一警告正值北韩的加密货币盗窃活动规模不断扩大之际。区块链分析公司Chainalysis在12月中旬表示,北韩黑客在2025年盗取了20.2亿美元的加密货币,比前一年增长了51%。与朝鲜民主主义人民共和国(DPRK)相关的行为者总共盗取的金额现已达到约67.5亿美元,尽管攻击次数有所减少。
攻击模式的转变
这些发现突显了国家级网络犯罪分子的操作方式发生了更广泛的转变。CryptoCore及类似团体不再依赖大规模的网络钓鱼活动,而是专注于高度定制的攻击,利用日常数字互动中的信任,例如日历邀请和视频通话。通过这种方式,北韩通过更少、更有针对性的事件实现了更大的盗窃。
根据Mandiant的说法,攻击始于受害者在Telegram上接到一位看似是已知加密货币高管的联系,该账户已经被入侵。在建立信任关系后,攻击者发送了一个Calendly链接,安排了一次30分钟的会议,受害者被引导到一个伪造的Zoom会议,该会议由该团体自己的基础设施托管。
深度伪造视频的使用
在会议期间,受害者报告称看到了一段看似著名加密货币首席执行官的深度伪造视频。会议开始后,攻击者声称存在音频问题,并指示受害者运行“故障排除”命令,这是一种ClickFix技术,最终触发了恶意软件感染。法医分析随后在受害者的系统中识别出七种不同的恶意软件家族,显然是为了窃取凭证、浏览器数据和会话令牌,以进行财务盗窃和未来的身份冒充。
专家观点与未来风险
去中心化身份公司cheqd的联合创始人兼首席执行官Fraser Edwards表示,这一攻击反映了他在依赖远程会议和快速协调的工作中反复看到的模式。他说:
“这种方法的有效性在于,几乎没有任何东西看起来不寻常。”
他补充道:“发件人是熟悉的,会议形式是常规的,没有恶意软件附件或明显的漏洞。在任何技术防御有机会介入之前,信任就已经被利用。”
Edwards表示,深度伪造视频通常在升级点引入,例如实时通话中,看到熟悉的面孔可以压制因意外请求或技术问题而产生的怀疑。他说:
“看到看似真实的人出现在镜头前,往往足以压制因意外请求或技术问题而产生的怀疑。”
他补充说,人工智能现在被用来支持在实时通话之外的身份冒充。“它被用来起草消息、调整语气,并模仿某人与同事或朋友的正常沟通方式。这使得常规消息更难以质疑,并减少了接收者停下来验证互动的机会。”
Edwards警告称,随着人工智能代理被引入日常沟通和决策中,风险将会增加。他表示:
“代理可以以机器速度发送消息、安排通话并代表用户行动。如果这些系统被滥用或入侵,深度伪造的音频或视频可以被自动部署,将身份冒充从手动努力转变为可扩展的过程。”
他表示,期望大多数用户能够识别深度伪造是不现实的,并补充道:
“解决方案不是要求用户更加关注,而是构建默认保护他们的系统。”
这意味着改善真实性的信号和验证方式,使用户能够快速理解内容是真实的、合成的还是未经验证的,而不依赖于直觉、熟悉感或手动调查。
