安全警报：与朝鲜有关的黑客发起针对加密货币公司的新一轮恶意软件攻击

由朝鲜归因的复杂网络行动已被曝光，针对加密货币和金融科技公司，使用先进的恶意软件和人工智能驱动的社会工程技术。谷歌云威胁情报部门Mandiant记录了这一不断升级的威胁群，命名为UNC1069，揭示了自2018年首次被研究人员发现以来活动的显著扩展。

Mandiant 揭示 UNC1069：朝鲜不断演变的网络能力

Mandiant的调查发现了一场针对性入侵行动，部署了七种不同的恶意软件变体，每一种都为特定的数据采集和外泄目的而设计。在新识别的工具中，包括旨在绕过关键操作系统安全机制并提取敏感主机和受害者信息的CHROMEPUSH和DEEPBREATH。此外，研究人员还记录了SILENCELIFT等多个恶意软件家族，代表了一套协调一致、全面的攻击基础设施。

根据Mandiant的技术评估：“此次调查揭示了一次定制化入侵，部署了七个独特的恶意软件家族，包括一套旨在捕获主机和受害者数据的新工具：SILENCELIFT、DEEPBREATH和CHROMEPUSH。”这一多样化的工具包显示出威胁行为者具有丰富的资源、显著的技术水平以及专业开发能力。

高级社会工程结合AI生成的欺骗

与朝鲜相关的行动利用被攻占的Telegram账户作为初始接触的媒介，同时策划了配有AI生成深度伪造视频内容的虚假Zoom会议。这种多层次的欺骗手段标志着社会操控策略的显著升级。受害者被系统性操控，执行隐藏指令，研究人员称之为ClickFix攻击——一种注入隐秘指令、在用户不知情的情况下执行的技术。

人工智能融入社会工程手段，展示了威胁行为者如何不断适应并武器化新兴技术。深度伪造视频尤为凸显了此次行动的复杂性，使得归属和受害者验证变得更加困难。

对加密货币行业的影响

对加密货币和金融科技企业的有意针对，提出了关于朝鲜在数字资产基础设施和敏感金融数据方面战略利益的关键问题。这些行动暗示潜在的目标包括：

• 凭证收集，以在企业网络中进行横向移动
• 区块链交易数据，用于情报收集或勒索操作
• 个人身份信息，可能促成进一步的破坏或间谍活动

在加密空间运营的公司被标记为朝鲜网络攻击的重点目标，需提高警惕和安全防护。自2018年以来持续的行动和不断演变的态势表明，这不是短暂的威胁，而是对手的持续战略重点。

组织应考虑的事项

UNC1069行动强调了员工安全意识培训的重要性，特别是针对深度伪造检测和意外通信验证的流程。多因素认证、端点检测与响应能力，以及对已识别恶意软件签名的持续监控，都是必不可少的防御措施。随着朝鲜网络行动的不断成熟和目标范围的扩大，加密货币企业必须将此威胁环境视为一个活跃且紧迫的优先事项。