目錄
從比特幣論壇 BTC Prague 共同創辦人 Martin Kuchař 近期揭露的資安事件顯示,駭客組織正結合社羣帳號入侵與 AI 影像技術發動攻擊。根據資安公司 Huntress 的研究,這些攻擊行動極高機率是由「TA444」(又稱 BlueNoroff)所發起,該組織隸屬於受北韓政府資助的 Lazarus Group 駭客組織。
(北韓駭客重出江湖?Lazarus 遭指是 Upbit 案兇手,攻擊混幣手法如出一轍)
BTC Prague 創辦人遭駭客冒充,揭露 AI 深偽詐騙手法
BTC Prague 共同創辦人 Martin Kuchař 1 月 22 日在 X 上發文表示,他的個人 Telegram 帳號遭駭客入侵,攻擊者利用其帳號聯繫通訊錄中的聯絡人,並安排視訊會議進行詐騙。
駭客的手法是在 Zoom 或 Teams 的視訊通話中,使用 AI 生成的深偽影像(Deepfake)偽裝成他本人或受害者熟識的對象,並在通話過程中稱音訊設備出現故障,要求受害者下載並安裝一個「修復程式」或外掛軟體。Kuchař 指出,該檔案實為惡意軟體,一旦安裝,攻擊者即可取得系統存取權限,除竊取加密貨幣外,還能接管帳號以擴大攻擊範圍。
他在社羣上呼籲大家,將所有來自 Telegram 或社羣媒體的 Zoom/Teams 會議邀請皆視為不可信,也不要加入任何未經核實的 Zoom/Teams 會議,即使是來自已知聯絡人的訊息,並推薦若有網頁版視訊需求,可以考慮使用 Google Meet,因其提供較佳的沙盒機制。
資安公司 Huntress 分析:針對 MacOS 的惡意腳本攻擊
網路安全公司 Huntress 於去年 7 月首次記錄了此類攻擊模式,攻擊者在 Telegram 上接觸目標加密貨幣從業人員後,便利用偽造的 Zoom 網域所託管的假冒會議連結,誘騙對方加入假的 Zoom 通話,駭客提供的所謂「Zoom 音訊修復程式」,本質上是一個惡意的 AppleScript。
該腳本主要針對 MacOS 系統用戶,一旦執行便會啟動感染程序。其運作特徵包括:停用 Shell 歷史紀錄以隱藏操作軌跡、檢查系統環境,並透過偽造視窗反覆要求使用者輸入系統密碼。取得權限後,該惡意軟體會植入後門程式與鍵盤側錄工具,竊取使用者的私鑰與加密貨幣資產。
這和 Kuchař Telegram 帳號的遭遇如出一徹,和隨後被用來攻擊他人的方式也相似。
攻擊源自北韓駭客集團 Lazarus
Huntress 研究人員確信,此次攻擊與北韓組織 TA444(亦稱 BlueNoroff)高度關聯,該組織隸屬於 Lazarus Group ,自 2017 年起便受國家資助專注於竊取加密貨幣。
區塊鏈資安公司慢霧(SlowMist)首席資安長 Shān Zhang 指出,雖然單一指標不足以定論,但綜合深偽技術、免洗會議帳號及偽造連結等跡象,但此案應與 Lazarus Group 大部分的組織行動相關聯,攻擊者通常會依循既定劇本,在對話初期製造急迫感,催促目標安裝軟體。
去中心化 AI 運算網路 Gonka 共同創辦人 David Liberman 則補充,由於圖像與影片已無法作為真實性的可靠證明,攻擊者高度依賴大眾熟悉的社交模式。因此,識別這些重複利用的腳本與手段,已成為當前追蹤此類威脅的重要依據。他建議數位內容應導入加密簽署與多因素驗證,以防範身分冒用。
最危險的攻擊往往來自日常
日前美國 FBI 破獲的查普曼筆電農場案中,嫌犯是在自家架設大量筆電,協助北韓工程師盜用美國公民身分,並以遠距工作名義成功受僱於多家財富 500 強企業。與 Martin Kuchař 遭遇的深偽攻擊共同提起了一個警訊:北韓駭客集團的威脅,並不一定仰賴高超的技術攻擊,而是利用大眾習以為常的「日常漏洞」。無論是 Zoom 會議中的熟人臉孔,還是遠端連線的員工帳號,攻擊者正透過社交工程與基礎的身分盜用,悄無聲息地滲透進企業與個人的防線之中。當遠距工作與數位協作成為常態,最脆弱的環節往往就在我們最不設防的日常信任裡。
(彭博調查揭露:北韓吸收美國人成為「代理人」在家營運詐騙機房)
