朝鮮加劇加密貨幣威脅：Google Cloud 警告新惡意軟件攻擊活動

Mandiant，隸屬於 Google Cloud 的安全部門，已標記一個與朝鮮有關的高級網絡攻擊行動，該行動針對加密貨幣和金融科技行業，展現出前所未有的複雜性。該威脅集群，追蹤代號為 UNC1069，代表自2018年首次發現以來活動的劇烈擴展，現已展現出協同部署多種高級惡意軟體和 AI 增強的社交工程策略，旨在破壞數位資產並竊取高價值目標的敏感資料。

七個惡意軟體家族針對加密貨幣與金融科技行業

這次新揭露的攻擊活動引入了七個不同的惡意軟體家族，專為滲透並提取加密平台和金融科技公司的資訊而設計。其中，三個新識別的變體尤為突出：SILENCELIFT、DEEPBREATH 和 CHROMEPUSH。根據 Mandiant 的官方調查報告，這些工具專為捕捉完整的主機與受害者資訊而設計，使攻擊者能持續存取系統並竊取憑證、金鑰及專有資料。

DEEPBREATH 和 CHROMEPUSH 代表一種特別危險的進化，因為它們都被設計用來規避關鍵作業系統的保護措施，並突破通常用來防禦未授權資料存取的安全機制。這種技術上的高階複雜性顯示出攻擊者擁有深厚的安全架構知識，並具備豐富資源。

AI 驅動的社交工程與 ClickFix 攻擊轉變攻擊向量

這個與朝鮮有關的行動運用了多層次的社交工程策略，結合人工智慧與傳統的欺騙手段。攻擊者利用被入侵的 Telegram 帳號與目標建立初步聯繫，接著策劃假裝的 Zoom 會議，並利用 AI 生成的深偽影片來操控受害者，使其屈服於攻擊。

這種欺騙最終導向 ClickFix 攻擊——一種誘使受害者在系統上執行隱藏指令的技術，受害者相信自己只是在進行例行的安全檢查或系統維護。這種攻擊方式對於重視安全的組織特別有效，因為它利用用戶對正當故障排除流程的天然信任。

Mandiant 迅速追蹤朝鮮相關威脅集群 UNC1069 的演變

Google Cloud 的 Mandiant 團隊對此標記的意義不僅止於技術層面。自2018年起的監控顯示，UNC1069 不斷演進並擴充資源，暗示其背後有持續的國家支持。惡意軟體的快速開發與 AI 驅動的社交工程策略整合，顯示攻擊者正從偶發性目標轉向針對策略性加密貨幣與金融基礎設施的精準攻擊。

這一升級標誌著國家級行為者在對加密貨幣行業的攻擊策略上邁入新階段，從基本的目標追蹤轉變為多階段、複雜的操作，能夠破壞安全環境。加密貨幣與金融科技社群面臨前所未有的協同威脅活動，亟需提升防禦能力並加強產業間的威脅情報共享。