Cảnh báo an ninh: Tin tặc liên kết với Triều Tiên phát động chiến dịch phần mềm độc hại mới nhằm vào các công ty tiền điện tử

Một hoạt động mạng tinh vi được cho là của Triều Tiên đã bị phơi bày, nhằm vào các công ty tiền điện tử và fintech với kho vũ khí phần mềm độc hại tiên tiến và kỹ thuật xã hội dựa trên AI. Mandiant, bộ phận tình báo mối đe dọa của Google Cloud, đã ghi nhận cụm mối đe dọa ngày càng gia tăng này mang tên UNC1069, cho thấy sự mở rộng đáng kể các hoạt động lần đầu tiên được các nhà nghiên cứu phát hiện từ năm 2018.

Mandiant Phát Hiện UNC1069: Năng Lực Mạng Phát Triển của Triều Tiên

Cuộc điều tra của Mandiant đã phát hiện một chiến dịch xâm nhập có mục tiêu, sử dụng bộ bảy biến thể phần mềm độc hại khác nhau, mỗi cái được thiết kế cho mục đích thu thập và trộm dữ liệu cụ thể. Trong số các công cụ mới được xác định có CHROMEPUSH và DEEPBREATH, nhằm vượt qua các cơ chế bảo mật quan trọng của hệ điều hành và trích xuất thông tin nhạy cảm của máy chủ và nạn nhân. Cùng với đó, các nhà nghiên cứu đã ghi nhận các họ phần mềm độc hại SILENCELIFT và một số họ khác, thể hiện một hạ tầng tấn công phối hợp và toàn diện.

Theo đánh giá kỹ thuật của Mandiant: “Cuộc điều tra này đã phát hiện một cuộc xâm nhập tùy chỉnh dẫn đến việc triển khai bảy họ phần mềm độc hại riêng biệt, bao gồm một bộ công cụ mới nhằm thu thập dữ liệu của máy chủ và nạn nhân: SILENCELIFT, DEEPBREATH và CHROMEPUSH.” Bộ công cụ đa dạng này cho thấy một tác nhân đe dọa có nguồn lực tốt, kỹ thuật tinh vi và khả năng phát triển chuyên biệt.

Kỹ Năng Xã Hội Tiên Tiến Kết Hợp Với AI Giả Mạo

Chiến dịch liên kết Triều Tiên đã tận dụng các tài khoản Telegram bị xâm phạm làm điểm tiếp xúc ban đầu, đồng thời tổ chức các cuộc họp Zoom giả mạo được nâng cấp bằng nội dung video deepfake do AI tạo ra. Cách tiếp cận lừa đảo nhiều lớp này thể hiện sự leo thang rõ rệt trong chiến thuật thao túng xã hội. Nạn nhân bị thao túng có hệ thống để thực hiện các lệnh ẩn qua các cuộc tấn công mà các nhà nghiên cứu gọi là ClickFix—kỹ thuật tiêm lệnh bí mật thực thi ngoài ý thức của người dùng.

Việc tích hợp trí tuệ nhân tạo vào phương pháp xã hội cho thấy các tác nhân đe dọa tiếp tục thích nghi và sử dụng công nghệ mới như vũ khí. Phần video deepfake đặc biệt nhấn mạnh mức độ tinh vi của chiến dịch, khiến việc xác định nguồn gốc và xác minh nạn nhân ngày càng khó khăn đối với các tổ chức mục tiêu.

Ảnh Hưởng Đến Ngành Công Nghiệp Tiền Điện Tử

Việc tập trung có chủ đích vào các công ty tiền điện tử và fintech đặt ra các câu hỏi quan trọng về lợi ích chiến lược của Triều Tiên trong hạ tầng tài sản kỹ thuật số và dữ liệu tài chính nhạy cảm. Các hoạt động này cho thấy khả năng quan tâm đến:

• Thu thập thông tin đăng nhập để di chuyển trong mạng lưới doanh nghiệp
• Dữ liệu giao dịch blockchain để thu thập tình báo hoặc thực hiện tống tiền
• Dữ liệu nhận dạng cá nhân có thể giúp thực hiện các cuộc tấn công hoặc hoạt động gián điệp bổ sung

Các công ty hoạt động trong lĩnh vực crypto bị coi là mục tiêu ưu tiên trong chiến lược mạng của Triều Tiên, đòi hỏi phải nâng cao cảnh giác và các biện pháp an ninh. Sự kiên trì của chiến dịch từ năm 2018 và sự phát triển liên tục cho thấy đây không phải là mối đe dọa tạm thời mà là một ưu tiên chiến lược lâu dài của đối phương.

Những Điều Các Tổ Chức Cần Lưu Ý

Chiến dịch UNC1069 nhấn mạnh tầm quan trọng của đào tạo nhận thức về an ninh cho nhân viên, đặc biệt là khả năng phát hiện deepfake và xác minh các liên lạc bất thường. Các biện pháp phòng thủ thiết yếu bao gồm xác thực đa yếu tố, khả năng phát hiện và phản ứng tại điểm cuối, và giám sát liên tục các ký hiệu phần mềm độc hại đã được xác định. Khi hoạt động mạng của Triều Tiên tiếp tục trưởng thành và mở rộng phạm vi mục tiêu, các công ty tiền điện tử cần coi đây là một mối đe dọa cấp bách và cần hành động ngay lập tức.