據週一發佈的一份報告顯示,谷歌旗下的安全團隊 Mandiant 警告稱,朝鮮黑客正在將人工智能生成的深度偽造技術融入虛假視頻會議中,以此作為針對加密貨幣公司日益複雜的攻擊的一部分。
Mandiant 表示,他們近期調查了一起針對一家金融科技公司的入侵事件,並將此次攻擊歸咎於UNC1069或“CryptoCore”——一個與朝鮮高度相關的威脅組織。該攻擊利用被盜用的Telegram賬戶、偽造的Zoom會議以及所謂的ClickFix技術,誘騙受害者運行惡意指令。調查人員還發現證據表明,攻擊者在偽造會議期間使用了人工智能生成的視頻來欺騙目標用戶。
報告稱:“Mandiant 觀察到 UNC1069 使用這些技術來攻擊加密貨幣行業的企業實體和個人,包括軟件公司及其開發人員,以及風險投資公司及其員工或高管。”
發出這一警告之際,朝鮮的加密貨幣盜竊活動規模仍在持續擴大。區塊鏈分析公司Chainalysis在12月中旬表示,朝鮮黑客在2025年竊取了價值20.2億美元的加密貨幣,比上一年增長了51%。儘管攻擊次數有所下降,但與朝鮮有關聯的黑客竊取的加密貨幣總額目前已達到約67.5億美元。
研究結果凸顯了與國家有關聯的網絡犯罪分子運作方式的更廣泛轉變。CryptoCore 和類似組織不再依賴大規模網絡釣魚活動,而是專注於高度定製化的攻擊,利用人們對日常數字互動(例如日曆邀請和視頻通話)的信任。通過這種方式,朝鮮能夠以更少、更精準的攻擊手段竊取更多資金。
據 Mandiant 稱,攻擊始於受害者在 Telegram 上收到一個看似知名加密貨幣高管的聯繫,該高管的賬戶已被盜用。建立起信任關係後,攻擊者發送了一個 Calendly 鏈接,聲稱要安排一個 30 分鐘的會議,但該鏈接會將受害者引導至一個偽造的 Zoom 會議,該會議託管在攻擊者自己的平臺上。在會議期間,受害者報告說看到了一段疑似知名加密貨幣 CEO 的深度偽造視頻。
會議開始後,攻擊者聲稱存在音頻問題,並指示受害者運行“故障排除”命令,這種ClickFix式的攻擊最終導致惡意軟件感染。取證分析隨後在受害者系統中發現了七個不同的惡意軟件家族,其部署顯然是為了竊取憑證、瀏覽器數據和會話令牌,以進行金融盜竊和日後的身份冒用。
去中心化身份公司cheqd的聯合創始人兼首席執行官弗雷澤·愛德華茲表示,此次攻擊反映了他反覆觀察到的一種模式,這種模式針對的是那些工作依賴於遠程會議和快速協調的人群。“這種攻擊方式的有效性在於,它只需要很小的偽裝就能達到目的,”愛德華茲說道。
“發件人是熟人。會議形式也很常規。沒有惡意軟件附件或明顯的漏洞利用。在任何技術防禦措施有機會介入之前,信任就已經被利用了。”
愛德華茲表示,深度偽造視頻通常會在事態升級的關鍵時刻出現,例如實時通話中,此時看到一張熟悉的面孔可以消除因意外要求或技術問題而產生的疑慮。“在攝像頭前看到看似真人的人,通常足以消除因意外要求或技術問題而產生的疑慮。其目的並非延長互動時間,而是營造足夠的逼真度,促使受害者採取下一步行動。”他說道。
他還補充說,人工智能現在也被用於在實時通話之外進行身份冒充。“它可以用來撰寫信息、糾正語氣,並模仿某人與同事或朋友的日常溝通方式。這使得日常信息更難被質疑,也降低了收件人停下來核實信息的可能性。”他解釋道。
愛德華茲警告說,隨著人工智能代理被引入日常溝通和決策,風險將會增加。“代理可以以機器速度發送消息、安排通話並代表用戶採取行動。如果這些系統遭到濫用或入侵,深度偽造的音頻或視頻就可以自動部署,將身份冒用從人工操作轉變為可擴展的過程。”他說道。
愛德華茲表示,指望大多數用戶知道如何識別深度偽造內容是“不現實的”,並補充說,“解決辦法不是要求用戶更加謹慎,而是構建默認保護用戶的系統。這意味著要改進真實性標識和驗證方式,讓用戶無需依賴直覺、熟悉程度或手動調查,就能快速瞭解內容是真實的、合成的還是未經證實的。”
