Północnokoreańscy hakerzy wdrażają socjotechnikę opartą na AI w ataku na Zerion

Zerion ujawnił, że hakerzy powiązani z Koreą Północną wykorzystali inżynierię społeczną opartą na AI, aby wydobyć około 100 000 dolarów z gorących portfeli firmy w zeszłym tygodniu. W pośmiertnej analizie opublikowanej w środę dostawca portfela kryptowalutowego potwierdził, że żadne fundusze użytkowników, aplikacje Zerion ani infrastruktura nie zostały naruszone, a firma prewencyjnie wyłączyła aplikację internetową jako środek ostrożności.

Chociaż kwota jest skromna jak na standardy hakowania kryptowalut, ujawnienie Zerion wzmacnia rosnący trend: atakujący coraz częściej celują w operatorów ludzkich za pomocą technik opartych na AI. Incydent wpisuje się w głośny epizod z początku miesiąca – wykorzystanie Drift Protocol na 280 milionów dolarów przypisywane operacji powiązanej z Koreą Północną – ilustrując szerszą zmianę w sposobie, w jaki podmioty zagrożenia podchodzą do firm kryptowalutowych. Warstwa ludzka, a nie oprogramowanie firmware czy inteligentne kontrakty, stała się głównym punktem wejścia dla włamań do środowisk kryptowalutowych.

Kluczowe wnioski

• Inżynieria społeczna oparta na AI staje się głównym wektorem ataku dla podmiotów powiązanych z KRLD, celując w osoby wewnętrzne zamiast jedynie wykorzystywać błędy w kodzie.
• Incydent Zerion obejmował dostęp do zalogowanych sesji członków zespołu, danych uwierzytelniających i kluczy prywatnych przechowywanych w gorących portfelach, podkreślając podatność w zarządzaniu tożsamością i dostępem.
• Ten sam klaster zagrożeń jest powiązany z szerszym wzorcem długotrwałych kampanii, które podszywają się pod zaufane kontakty i marki w popularnych kanałach współpracy, takich jak Telegram, LinkedIn i Slack.
• Badacze branżowi udokumentowali rosnący zestaw narzędzi: fałszywe spotkania wirtualne, edycję obrazów i wideo wspomaganą przez AI oraz inne zwodnicze taktyki, które zmniejszają tarcie w inżynierii społecznej.
• Analitycy bezpieczeństwa ostrzegają, że zagrożenie wykracza daleko poza giełdy, obejmując programistów, współpracowników i każdego, kto ma dostęp do infrastruktury kryptowalutowej.

AI przekształca krajobraz zagrożeń

Incydent Zerion podkreśla zmianę w sposobie, w jaki naruszenia rozwijają się w ekosystemach kryptowalutowych. Zerion stwierdził, że atakujący uzyskał dostęp do zalogowanych sesji niektórych członków zespołu, danych uwierzytelniających i kluczy prywatnych używanych do gorących portfeli. Firma opisała wydarzenie jako operację inżynierii społecznej wspomaganą przez AI, wskazując, że narzędzia sztucznej inteligencji zostały wdrożone w celu udoskonalenia wiadomości phishingowych, podszywania się i innych technik manipulacyjnych.

Ta ocena jest zgodna z wcześniejszymi ustaleniami badaczy branżowych, którzy zaobserwowali grupy powiązane z KRLD doskonalące swoje podręczniki inżynierii społecznej. W szczególności Security Alliance (SEAL) poinformował o śledzeniu i blokowaniu 164 domen powiązanych z UNC1069 w dwumiesięcznym okresie od lutego do kwietnia, zauważając, że grupa prowadzi wielotygodniowe kampanie o niskiej presji na Telegramie, LinkedIn i Slack. Aktorzy podszywają się pod znane kontakty lub renomowane marki lub wykorzystują dostęp do wcześniej zhakowanych kont, aby budować zaufanie i eskalować dostęp.

Dział bezpieczeństwa Google, Mandiant, szczegółowo opisał ewoluujący przepływ pracy grupy, w tym udokumentowane wykorzystanie fałszywych spotkań Zoom i edycji obrazów lub wideo wspomaganej przez AI podczas etapu inżynierii społecznej. Połączenie oszustwa i narzędzi AI utrudnia odbiorcom rozróżnienie legalnej komunikacji od fałszywej, zwiększając prawdopodobieństwo udanych włamań.

Powierzchnia zagrożeń KRLD wykracza poza giełdy

Poza sprawą Zerion badacze podkreślali, że podmioty zagrożenia z Korei Północnej osadzały się w ekosystemach kryptowalutowych przez lata. Deweloper MetaMask i badacz bezpieczeństwa Taylor Monahan zauważył, że pracownicy IT KRLD byli zaangażowani w liczne protokoły i projekty przez co najmniej siedem lat, podkreślając trwałą obecność w całym sektorze. Integracja narzędzi AI w te kampanie zwiększa ryzyko, umożliwiając bardziej przekonujące podszywanie się i usprawnienie przepływów pracy inżynierii społecznej.

Analitycy z Elliptic podsumowali ewoluujące zagrożenie we wpisie na blogu, podkreślając, że grupa KRLD działa wzdłuż dwóch wektorów ataku – jednego wyrafinowanego, drugiego bardziej oportunistycznego – celując w indywidualnych programistów, współpracowników projektów i każdego, kto ma dostęp do infrastruktury kryptowalutowej. Obserwacja odzwierciedla to, co Zerion i inni widzą w terenie: bariera wejścia dla naruszeń inżynierii społecznej jest niższa niż kiedykolwiek, dzięki zdolności AI do automatyzowania i dostosowywania zwodniczej treści na dużą skalę.

W miarę jak narracja się poszerza, obserwatorzy podkreślają, że czynnik ludzki – dane uwierzytelniające, tokeny sesji, klucze prywatne i zaufane relacje – nadal pozostaje głównym punktem wejścia. Zmiana taktyki oznacza, że firmy muszą bronić nie tylko swojego kodu i wdrożeń, ale także integralności komunikacji wewnętrznej i ścieżek dostępu, które łączą zespoły z krytycznymi zasobami.

Na co czytelnicy powinni zwrócić uwagę dalej

Biorąc pod uwagę przekrojowy charakter tych ataków, uczestnicy rynku i twórcy powinni monitorować kilka rozwijających się wątków. Po pierwsze, epizod Drift Protocol i incydent Zerion razem ilustrują, że podmioty powiązane z KRLD realizują wieloetapowe, długoterminowe podejście, które łączy tradycyjną inżynierię społeczną z tworzeniem treści wspomaganym przez AI. Oznacza to, że krótkoterminowe poprawki – takie jak łatanie pojedynczej podatności lub alarmowanie o podejrzanym kodzie – będą niewystarczające bez wzmocnionych kontroli tożsamości i dostępu w całej organizacji.

Po drugie, ekspansja oszustwa wspomaganego przez AI na zwykłe kanały współpracy sugeruje, że obrońcy powinni zintensyfikować monitorowanie anomalnych sesji logowania, nietypowych eskalacji uprawnień i podejrzanych podszywań się w wewnętrznych platformach komunikacyjnych i spotkań. Jak pokazały SEAL i Mandiant, atakujący wykorzystują istniejące relacje zaufania, aby zmniejszyć podejrzenia, czyniąc czujność na poziomie ludzkim niezbędną obok kontroli technicznych.

Wreszcie, szerszy ekosystem powinien spodziewać się ciągłego publicznego raportowania i analizy ze strony badaczy w miarę pojawiania się kolejnych incydentów. Konwergencja AI z inżynierią społeczną rodzi pytania dotyczące standardów regulacyjnych i branżowych dotyczących reakcji na incydenty, zarządzania ryzykiem dostawców i edukacji użytkowników. W miarę jak branża przyswaja te lekcje, kluczowe będzie śledzenie, jak portfele, protokoły i firmy bezpieczeństwa dostosowują się do podręcznika atakującego, który coraz bardziej kładzie nacisk na element ludzki w połączeniu z narzędziami AI.

Dla bieżącego kontekstu czytelnicy mogą przejrzeć analizę exploitu Drift Protocol powiązaną z tą samą działalnością związaną z KRLD, poradę SEAL dotyczącą śledzenia UNC1069 oraz ocenę Mandiant dotyczącą technik grupy, w tym oszustwa wspomaganego przez AI. Komentarze badaczy, którzy studiowali podmioty KRLD – takich jak Taylor Monahan i Elliptic – pomagają wyjaśnić głębokość i trwałość zagrożenia, podkreślając, że krajobraz zagrożeń dotyczy nie tylko eksponowanych inteligentnych kontraktów, ale także tego, jak zespoły bronią swoich ludzi oraz swojego kodu.

W miarę rozwoju tego obszaru, wydarzenia do obserwowania obejmują nowe aktualizacje spraw od Zerion i Drift Protocol, wszelkie zmiany w narzędziach podmiotów zagrożenia oraz odpowiedzi regulacyjne mające na celu poprawę przejrzystości i odporności w firmach kryptowalutowych. Kluczowa linia przewodnia pozostaje jasna: najsilniejsza obrona łączy solidną higienę tożsamości z czujną postawą bezpieczeństwa opartą na AI, która może wykrywać i powstrzymywać wyrafinowane kampanie inżynierii społecznej, zanim zaatakują.

Ten artykuł został pierwotnie opublikowany jako North Korean Hackers Deploy AI-Driven Social Engineering on Zerion na Crypto Breaking News – waszym zaufanym źródle wiadomości kryptowalutowych, wiadomości o Bitcoin i aktualizacji blockchain.