北韓駭客組織利用 AI 深偽技術詐騙,BTC Prague 創辦人 TG 遭駭
從比特幣論壇 BTC Prague 共同創辦人 Martin Kuchař 近期揭露的資安事件顯示,駭客組織正結合社群帳號入侵與 AI 影像技術發動攻擊。根據資安公司 Huntress 的研究,這些攻擊行動極高機率是由「TA444」(又稱 BlueNoroff)所發起,該組織隸屬於受北韓政府資助的 Lazarus Group 駭客組織。
(北韓駭客重出江湖?Lazarus 遭指是 Upbit 案兇手,攻擊混幣手法如出一轍)
BTC Prague 創辦人遭駭客冒充,揭露 AI 深偽詐騙手法
BTC Prague 共同創辦人 Martin Kuchař 1 月 22 日在 X 上發文表示,他的個人 Telegram 帳號遭駭客入侵,攻擊者利用其帳號聯繫通訊錄中的聯絡人,並安排視訊會議進行詐騙。
廣告 - 內文未完請往下捲動
駭客的手法是在 Zoom 或 Teams 的視訊通話中,使用 AI 生成的深偽影像(Deepfake)偽裝成他本人或受害者熟識的對象,並在通話過程中稱音訊設備出現故障,要求受害者下載並安裝一個「修復程式」或外掛軟體。Kuchař 指出,該檔案實為惡意軟體,一旦安裝,攻擊者即可取得系統存取權限,除竊取加密貨幣外,還能接管帳號以擴大攻擊範圍。
他在社群上呼籲大家,將所有來自 Telegram 或社群媒體的 Zoom/Teams 會議邀請皆視為不可信,也不要加入任何未經核實的 Zoom/Teams 會議,即使是來自已知聯絡人的訊息,並推薦若有網頁版視訊需求,可以考慮使用 Google Meet,因其提供較佳的沙盒機制。
資安公司 Huntress 分析:針對 MacOS 的惡意腳本攻擊
網路安全公司 Huntress 於去年 7 月首次記錄了此類攻擊模式,攻擊者在 Telegram 上接觸目標加密貨幣從業人員後,便利用偽造的 Zoom 網域所託管的假冒會議連結,誘騙對方加入假的 Zoom 通話,駭客提供的所謂「Zoom 音訊修復程式」,本質上是一個惡意的 AppleScript。
該腳本主要針對 MacOS 系統用戶,一旦執行便會啟動感染程序。其運作特徵包括:停用 Shell 歷史紀錄以隱藏操作軌跡、檢查系統環境,並透過偽造視窗反覆要求使用者輸入系統密碼。取得權限後,該惡意軟體會植入後門程式與鍵盤側錄工具,竊取使用者的私鑰與加密貨幣資產。
這和 Kuchař Telegram 帳號的遭遇如出一徹 ,和隨後被用來攻擊他人的方式也相似。
攻擊源自北韓駭客集團 Lazarus
Huntress 研究人員確信,此次攻擊與北韓組織 TA444(亦稱 BlueNoroff)高度關聯,該組織隸屬於 Lazarus Group ,自 2017 年起便受國家資助專注於竊取加密貨幣。
區塊鏈資安公司慢霧(SlowMist)首席資安長 Shān Zhang 指出,雖然單一指標不足以定論,但綜合深偽技術、免洗會議帳號及偽造連結等跡象,但此案應與 Lazarus Group 大部分的組織行動相關聯,攻擊者通常會依循既定劇本,在對話初期製造急迫感,催促目標安裝軟體。
去中心化 AI 運算網路 Gonka 共同創辦人 David Liberman 則補充,由於圖像與影片已無法作為真實性的可靠證明,攻擊者高度依賴大眾熟悉的社交模式。因此,識別這些重複利用的腳本與手段,已成為當前追蹤此類威脅的重要依據。他建議數位內容應導入加密簽署與多因素驗證,以防範身分冒用。
最危險的攻擊往往來自日常
日前美國 FBI 破獲的查普曼筆電農場案中,嫌犯是在自家架設大量筆電,協助北韓工程師盜用美國公民身分,並以遠距工作名義成功受雇於多家財富 500 強企業。與 Martin Kuchař 遭遇的深偽攻擊共同提起了一個警訊:北韓駭客集團的威脅,並不一定仰賴高超的技術攻擊,而是利用大眾習以為常的「日常漏洞」。無論是 Zoom 會議中的熟人臉孔,還是遠端連線的員工帳號,攻擊者正透過社交工程與基礎的身分盜用,悄無聲息地滲透進企業與個人的防線之中。當遠距工作與數位協作成為常態,最脆弱的環節往往就在我們最不設防的日常信任裡。
(彭博調查揭露:北韓吸收美國人成為「代理人」在家營運詐騙機房)
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
