การเตือนภัยจากทีมความปลอดภัยของ Google
ทีมความปลอดภัยของ Google ที่ Mandiant ได้เตือนว่า แฮกเกอร์จากเกาหลีเหนือ กำลังนำการสร้างภาพลวงตาด้วย AI มาผสมผสานในวิดีโอประชุมปลอมเป็นส่วนหนึ่งของการโจมตีที่ซับซ้อนมากขึ้นต่อบริษัทคริปโต ตามรายงานที่เผยแพร่เมื่อวันจันทร์ Mandiant กล่าวว่าได้ทำการสอบสวนการบุกรุกที่บริษัทฟินเทคซึ่งเชื่อมโยงกับ UNC1069 หรือ “CryptoCore” ซึ่งเป็นกลุ่มผู้คุกคามที่มีความเชื่อมโยงกับเกาหลีเหนืออย่างมั่นใจ
วิธีการโจมตีที่ซับซ้อน
การโจมตีใช้บัญชี Telegram ที่ถูกแฮก, การประชุม Zoom ที่ปลอมแปลง, และเทคนิคที่เรียกว่า ClickFix เพื่อหลอกเหยื่อให้รันคำสั่งที่เป็นอันตราย นักสืบยังพบหลักฐานว่าได้มีการใช้วิดีโอที่สร้างด้วย AI เพื่อหลอกลวงเป้าหมายในระหว่างการประชุมปลอม
“Mandiant ได้สังเกตเห็นว่า UNC1069 ใช้เทคนิคเหล่านี้เพื่อมุ่งเป้าไปที่ทั้งองค์กรและบุคคลในอุตสาหกรรม cryptocurrency รวมถึงบริษัทซอฟต์แวร์และนักพัฒนาของพวกเขา รวมถึงบริษัททุนร่วมและพนักงานหรือผู้บริหารของพวกเขา”
การขโมย Cryptocurrency ที่เพิ่มขึ้น
การเตือนนี้เกิดขึ้นในขณะที่การขโมย cryptocurrency ของเกาหลีเหนือยังคงขยายตัว ในกลางเดือนธันวาคม บริษัทวิเคราะห์บล็อกเชน Chainalysis กล่าวว่าแฮกเกอร์จากเกาหลีเหนือขโมย cryptocurrency มูลค่า 2.02 พันล้านดอลลาร์ ในปี 2025 ซึ่งเพิ่มขึ้น 51% จากปีที่แล้ว จำนวนเงินรวมที่ถูกขโมยโดยกลุ่มที่เชื่อมโยงกับ DPRK ขณะนี้อยู่ที่ประมาณ 6.75 พันล้านดอลลาร์
การเปลี่ยนแปลงในวิธีการโจมตี
แม้ว่าจำนวนการโจมตีจะลดลง ผลการค้นพบนี้เน้นให้เห็นถึงการเปลี่ยนแปลงที่กว้างขึ้นในวิธีการที่อาชญากรไซเบอร์ที่เชื่อมโยงกับรัฐกำลังดำเนินการ แทนที่จะพึ่งพาแคมเปญฟิชชิงแบบมวลชน CryptoCore และกลุ่มที่คล้ายกันกำลังมุ่งเน้นไปที่การโจมตีที่ปรับแต่งอย่างสูงซึ่งใช้ประโยชน์จากความไว้วางใจในปฏิสัมพันธ์ดิจิทัลที่เป็นกิจวัตร เช่น การเชิญปฏิทินและการโทรวิดีโอ
การโจมตีที่เริ่มต้น
การโจมตีเริ่มต้นเมื่อเหยื่อถูกติดต่อทาง Telegram โดยผู้ที่ดูเหมือนจะเป็นผู้บริหาร cryptocurrency ที่รู้จักซึ่งบัญชีของเขาถูกแฮกไปแล้ว หลังจากสร้างความสัมพันธ์ ผู้โจมตีได้ส่งลิงก์ Calendly สำหรับการประชุม 30 นาทีที่นำเหยื่อไปยังการโทร Zoom ปลอมที่จัดขึ้นบนโครงสร้างพื้นฐานของกลุ่ม
การใช้ AI ในการโจมตี
ในระหว่างการโทร เหยื่อรายงานว่าเห็นวิดีโอที่ดูเหมือนจะเป็นภาพลวงตาของ CEO ของ crypto ที่มีชื่อเสียง เมื่อการประชุมเริ่มขึ้น ผู้โจมตีอ้างว่ามีปัญหาเสียงและสั่งให้เหยื่อรันคำสั่ง “แก้ไขปัญหา” ซึ่งเป็นเทคนิค ClickFix ที่กระตุ้นการติดเชื้อมัลแวร์ในที่สุด
Fraser Edwards ผู้ร่วมก่อตั้งและ CEO ของบริษัท cheqd กล่าวว่า การโจมตีนี้สะท้อนถึงรูปแบบที่เขาเห็นซ้ำแล้วซ้ำเล่าในกลุ่มคนที่งานของพวกเขาขึ้นอยู่กับการประชุมทางไกลและการประสานงานอย่างรวดเร็ว
ความเสี่ยงที่เพิ่มขึ้นจาก AI
Edwards เตือนว่าความเสี่ยงจะเพิ่มขึ้นเมื่อเอเจนต์ AI ถูกนำเข้าสู่การสื่อสารและการตัดสินใจในชีวิตประจำวัน “เอเจนต์สามารถส่งข้อความ กำหนดการโทร และทำหน้าที่แทนผู้ใช้ด้วยความเร็วของเครื่อง หากระบบเหล่านั้นถูกใช้ในทางที่ผิดหรือถูกแฮก เสียงหรือวิดีโอที่สร้างด้วย AI สามารถถูกนำมาใช้โดยอัตโนมัติ ทำให้การปลอมแปลงกลายเป็นกระบวนการที่สามารถขยายได้”
“มันไม่สมจริงที่จะคาดหวังให้ผู้ใช้ส่วนใหญ่รู้วิธีการระบุภาพลวงตา”
Edwards กล่าวเสริมว่า “คำตอบไม่ใช่การขอให้ผู้ใช้ใส่ใจมากขึ้น แต่เป็นการสร้างระบบที่ปกป้องพวกเขาโดยอัตโนมัติ นั่นหมายถึงการปรับปรุงวิธีการที่ความถูกต้องถูกส่งสัญญาณและตรวจสอบ เพื่อให้ผู้ใช้สามารถเข้าใจได้อย่างรวดเร็วว่าคอนเทนต์นั้นเป็นจริง สังเคราะห์ หรือไม่ได้รับการตรวจสอบโดยไม่ต้องพึ่งพาสัญชาตญาณ ความคุ้นเคย หรือการตรวจสอบด้วยตนเอง”
