Північнокорейські хакери розгортають керовану ШІ соціальну інженерію на Zerion

Zerion повідомив, що минулого тижня пов'язані з Північною Кореєю хакери використали керовану ШІ соціальну інженерію для викрадення приблизно $100 000 з гарячих гаманців компанії. У розборі інциденту, опублікованому в середу, провайдер криптовалютних гаманців підтвердив, що кошти користувачів, додатки Zerion чи інфраструктура не були скомпрометовані, і компанія превентивно вимкнула веб-додаток як запобіжний захід.

Хоча сума є скромною за стандартами криптовалютних злому, розкриття Zerion підтверджує зростаючу тенденцію: зловмисники дедалі частіше атакують людей-операторів за допомогою технік, керованих ШІ. Інцидент відбувається поряд із резонансним епізодом на початку місяця — експлуатацією Drift Protocol на $280 мільйонів, яку приписують операції, пов'язаній з Північною Кореєю — що ілюструє ширший зсув у тому, як учасники загроз підходять до криптовалютних фірм. Людський рівень, а не прошивка чи смартконтракти, став основною точкою входу для вторгнень у криптовалютні середовища.

Ключові висновки

• Керована ШІ соціальна інженерія стає основним вектором атак для пов'язаних з КНДР акторів, що орієнтуються на інсайдерів, а не лише на експлуатацію помилок у коді.
• Інцидент Zerion передбачав доступ до активних сеансів членів команди, облікових даних та приватних ключів, що зберігаються в гарячих гаманцях, підкреслюючи вразливість в управлінні ідентифікацією та доступом.
• Той самий кластер загроз пов'язаний із ширшим патерном довготривалих кампаній, які видають себе за довірених контактів та бренди через загальні канали співпраці, такі як Telegram, LinkedIn та Slack.
• Дослідники галузі задокументували зростаючий інструментарій: фальшиві віртуальні зустрічі, редагування зображень та відео за допомогою ШІ та інші обманні тактики, які знижують бар'єр для соціальної інженерії.
• Аналітики з безпеки попереджають, що загроза поширюється далеко за межі бірж на розробників, учасників та будь-кого з доступом до криптоінфраструктури.

ШІ змінює ландшафт загроз

Інцидент Zerion висвітлює зсув у тому, як відбуваються порушення в криптовалютних екосистемах. Zerion заявив, що зловмисник отримав доступ до активних сеансів деяких членів команди, облікових даних та приватних ключів, що використовуються для гарячих гаманців. Фірма описала подію як керовану ШІ операцію соціальної інженерії, вказуючи, що інструменти штучного інтелекту були розгорнуті для вдосконалення фішингових повідомлень, видавання себе за інших та інших маніпулятивних технік.

Ця оцінка узгоджується з попередніми висновками дослідників галузі, які спостерігали, як пов'язані з КНДР групи вдосконалюють свої підручники з соціальної інженерії. Зокрема, Security Alliance (SEAL) повідомив про відстеження та блокування 164 доменів, пов'язаних з UNC1069, протягом двомісячного вікна з лютого по квітень, зазначивши, що група проводить багатотижневі кампанії з низьким тиском через Telegram, LinkedIn та Slack. Актори видають себе за відомих контактів або відомі бренди або використовують доступ до раніше скомпрометованих акаунтів для побудови довіри та ескалації доступу.

Підрозділ безпеки Google, Mandiant, детально описав еволюціонуючий робочий процес групи, включаючи задокументоване використання фальшивих зустрічей Zoom та редагування зображень або відео за допомогою ШІ під час етапу соціальної інженерії. Поєднання обману та інструментів ШІ ускладнює для одержувачів відрізнення легітимних повідомлень від шахрайських, збільшуючи ймовірність успішних вторгнень.

Поверхня загроз КНДР виходить за межі бірж

Окрім випадку Zerion, дослідники підкреслили, що актори загроз з Північної Кореї впроваджуються в криптовалютні екосистеми роками. Розробник MetaMask та дослідник безпеки Тейлор Монахан зазначив, що ІТ-працівники КНДР брали участь у численних протоколах та проєктах принаймні сім років, підкреслюючи стійку присутність у всьому секторі. Інтеграція інструментів ШІ в ці кампанії посилює ризик, дозволяючи більш переконливе видавання себе за інших та оптимізовані робочі процеси соціальної інженерії.

Аналітики з Elliptic підсумували еволюціонуючу загрозу в блог-пості, підкресливши, що група КНДР діє за двома векторами атаки — один витончений, інший більш опортуністичний — орієнтуючись на окремих розробників, учасників проєктів та будь-кого з доступом до криптоінфраструктури. Спостереження перегукується з тим, що бачать Zerion та інші на місцях: бар'єр для входу для порушень через соціальну інженерію нижчий, ніж будь-коли, завдяки здатності ШІ автоматизувати та адаптувати обманний контент у масштабі.

У міру розширення наративу спостерігачі наголошують, що людський фактор — облікові дані, токени сеансів, приватні ключі та довірені відносини — продовжує залишатися основною точкою входу. Зміна тактики означає, що компанії повинні захищати не лише свій код та розгортання, але й цілісність внутрішніх комунікацій та шляхів доступу, які з'єднують команди з критичними активами.

На що читачам слід звернути увагу далі

Враховуючи комплексний характер цих атак, учасники ринку та розробники повинні відстежувати кілька розвиваючих тенденцій. По-перше, епізод Drift Protocol та інцидент Zerion разом ілюструють, що пов'язані з КНДР актори застосовують багатоетапний довгостроковий підхід, який поєднує традиційну соціальну інженерію зі створенням контенту, посиленого ШІ. Це означає, що короткострокові виправлення — такі як виправлення однієї вразливості або сповіщення про підозрілий код — будуть недостатніми без посилених контролів ідентичності та доступу в усій організації.

По-друге, розширення керованого ШІ обману в звичайні канали співпраці говорить про те, що захисники повинні посилити моніторинг аномальних сеансів входу, незвичайних ескалацій привілеїв та підозрілих видавань себе за інших у внутрішніх платформах обміну повідомленнями та проведення зустрічей. Як показали SEAL та Mandiant, зловмисники використовують вже існуючі довірені відносини для зниження підозр, роблячи людську пильність важливою поряд з технічними контролями.

Нарешті, ширша екосистема повинна очікувати продовження публічних звітів та аналізу від дослідників у міру виникнення нових інцидентів. Конвергенція ШІ із соціальною інженерією ставить питання про регуляторні та галузеві стандарти для реагування на інциденти, управління ризиками постачальників та освіти користувачів. У міру того, як галузь засвоює ці уроки, буде критично важливо відстежувати, як гаманці, протоколи та фірми з безпеки адаптуються до підручника зловмисників, який дедалі більше наголошує на людському елементі в поєднанні з інструментами ШІ.

Для поточного контексту читачі можуть переглянути аналіз експлуатації Drift Protocol, пов'язаної з тією ж діяльністю КНДР, консультативне повідомлення SEAL про відстеження UNC1069 та оцінку Mandiant щодо технік групи, включаючи обман за допомогою ШІ. Коментарі дослідників, які вивчали акторів КНДР — таких як Тейлор Монахан та Elliptic — допомагають висвітлити глибину та стійкість загрози, підкреслюючи, що ландшафт загроз стосується не лише відкритих смартконтрактів, але й того, як команди захищають своїх людей, а також свій код.

У міру розвитку цієї сфери розробки, за якими слід стежити, включають нові оновлення випадків від Zerion та Drift Protocol, будь-які зміни в інструментарії учасників загроз та регуляторні відповіді, спрямовані на покращення прозорості та стійкості в криптовалютному бізнесі. Ключова наскрізна лінія залишається чіткою: найсильніший захист поєднує надійну гігієну ідентичності з пильною позицією безпеки, інформованою ШІ, яка може виявляти та стримувати витончені кампанії соціальної інженерії до їх удару.

Ця стаття була спочатку опублікована як North Korean Hackers Deploy AI-Driven Social Engineering on Zerion на Crypto Breaking News — вашому надійному джерелі криптоновин, новин Bitcoin та оновлень блокчейну.