北韓駭客UNC1069鎖定加密貨幣產業而來,透過AI社交工程散佈後門與竊資軟體
攻擊手法與技術細節
北韓駭客組織UNC1069針對加密貨幣產業發動攻擊,透過AI生成的社交工程內容,散佈惡意軟體與後門程式。其攻擊手法包括:
- 使用AI生成的PowerShell後門程式,部署於目標系統中。
- 結合遭竊的Telegram帳號、虛構的視訊會議與ClickFix網釣工具,進行社交工程攻擊。
- 透過AI生成影片,偽造專業形象以吸引目標受眾。
攻擊目標與範圍
UNC1069的攻擊主要鎖定以下對象:
- 加密貨幣與區塊鏈專案的開發者系統。
- 加密貨幣產業相關企業,特別是去中心化金融(DeFi)領域的金融科技公司。
- 加密貨幣求職者,透過LinkedIn等平臺假扮招聘者進行聯絡。
攻擊影響與案例
北韓駭客的攻擊已造成實際損失:
- 2025年2月對ByBit交易所發動的15億美元攻擊,為加密貨幣史上最大規模單一竊盜案,佔當年總竊取金額約69%。
- 截至2025年12月,與北韓有關聯的黑客竊取金額較2024年多出逾50%,累計規模達67.5億美元。
相關組織與調查
多個資安機構參與調查與揭露:
- Google威脅情報團隊(GTIG)與資安公司Mandiant揭露UNC1069的最新活動。
- 資安業者Mandiant警告北韓駭客透過社交工程與惡意軟體竊取加密資產。