朝鮮國家黑客利用虛假的Zoom會議攻擊加密貨幣公司

朝鮮國家黑客正利用多種獨特的惡意軟件攻擊加密貨幣公司，並配合多種詐騙手段，包括虛假的 Zoom 會議。. 

據觀察，與朝鮮有關聯的威脅行爲者 UNC1069 以加密貨幣領域爲目標，試圖從 Windows 和 macOS 系統中竊取敏感數據，其最終目的是實施金融盜竊。.

經評估，UNC1069 自 2018 年 4 月起活躍。該組織曾利用虛假會議邀請和冒充信譽良好的公司投資者等手段，開展社會工程活動以謀取經濟利益。. 

虛假的 Zoom 通話利用惡意軟件攻擊加密貨幣公司

谷歌旗下Mandiant的研究人員在其最新報告中詳細介紹了他們對一起針對加密貨幣行業金融科技公司的入侵事件的調查。據調查人員稱，此次入侵始於一名加密貨幣行業高管的Telegram賬戶被盜用。. 

攻擊者利用被盜用的個人資料聯繫受害者。他們逐步建立信任，然後發送 Calendly 視頻會議邀請。會議鏈接將目標用戶引導至一個僞造的 Zoom 域名，該域名託管在攻擊者控制的基礎設施上。.

通話期間，受害者稱看到一段疑似深度僞造的視頻，視頻中的人物是另一家加密貨幣公司的首席執行官。.

報告指出： “雖然 Mandiant 無法恢復取證證據來dentdent相似據稱。

攻擊者製造了會議音頻故障的假象，以此爲下一步行動提供藉口。他們指示受害者在其設備上運行故障排除命令。這些命令針對 macOS 和 Windows 系統進行了定製，祕密啓動了感染鏈。結果，多個惡意軟件組件被激活。.

Mandiantdent出此次攻擊中使用的七種不同類型的惡意軟件。這些工具旨在訪問鑰匙串並竊取密碼、檢索瀏覽器 cookie 和登錄信息、訪問 Telegram 會話信息以及獲取其他私人文件。.

調查人員評估認爲，此次攻擊的目的有兩個：一是可能實施加密貨幣盜竊，二是收集可用於未來社會工程攻擊的數據。調查顯示，單個主機上被投放了數量異常龐大的工具。. 

人工智能輔助的詐騙團伙表現出更高的運作效率

這起dent 只是更大範圍犯罪模式的一部分。與朝鮮有關聯的人員冒充業內可信人士，在虛假的Zoom和Microsoft Teams會議中竊取了超過3億美元。.

全年的活動規模更加驚人。據CryptopolitanCryptopolitan，朝鮮威脅組織在 2025 年竊取了價值 20.2 億美元的數字資產，比上一年增長了 51%。

Chainalysis 的研究還發現，與人工智能服務提供商相關的詐騙團伙比沒有此類關聯的詐騙團伙運營效率更高。該公司認爲，這一趨勢預示着未來人工智能將成爲大多數詐騙活動的標準組成部分。

谷歌威脅情報小組 (GTIG) 在去年 11 月發佈的一份報告中指出，攻擊者使用了生成式人工智能 (AI) 工具，例如 Gemini。他們利用這些工具生成誘餌材料和其他與加密相關的訊息，以此來支持其社會工程攻擊活動。.

至少從 2023 年開始，該組織已從魚叉式網絡釣魚技術和傳統金融 (TradFi) 目標轉向 Web3 行業，例如中心化交易所 (CEX)、金融機構的軟件開發人員、高科技公司和風險投資基金的個人。.

谷歌。.

據觀察，該組織還試圖濫用 Gemini 開發代碼來竊取加密資產。他們還利用深度僞造圖像和視頻誘餌，模仿加密貨幣行業人士，將名爲 BIGMACHO 的後門程序僞裝成 Zoom 軟件開發工具包 (SDK) 分發給受害者。.

想讓你的項目出現在加密貨幣領域的頂尖人士面前嗎？那就把它刊登在我們下一份行業報告中吧，屆時數據將與實際影響相結合。