Северокорейские хакеры применяют социальную инженерию на основе ИИ против Zerion

Zerion раскрыл информацию о том, что связанные с Северной Кореей хакеры использовали управляемую ИИ социальную инженерию для извлечения около 100 000$ из горячих кошельков компании на прошлой неделе. В посмертном отчете, опубликованном в среду, поставщик криптокошельков подтвердил, что средства пользователей, приложения Zerion или инфраструктура не были скомпрометированы, и в качестве меры предосторожности компания проактивно отключила веб-приложение.

Хотя сумма скромна по меркам криптохакинга, раскрытие Zerion подтверждает растущую тенденцию: злоумышленники все чаще нацеливаются на операторов-людей с использованием технологий, управляемых ИИ. Инцидент стоит в одном ряду с громким эпизодом ранее в этом месяце — эксплойтом Drift Protocol на 280 000 000$, приписываемым операции, связанной с Северной Кореей, — иллюстрируя более широкий сдвиг в том, как угрозные субъекты подходят к криптокомпаниям. Человеческий уровень, а не прошивка или смарт-контракты, стал основной точкой входа для вторжений в криптосреды.

Ключевые выводы

• Социальная инженерия с использованием ИИ становится основным вектором атак для субъектов, связанных с КНДР, нацеленных на инсайдеров, а не только на эксплуатацию ошибок в коде.
• Инцидент Zerion включал доступ к сеансам членов команды, учетным данным и приватным ключам, хранящимся в горячих кошельках, подчеркивая уязвимость в управлении идентификацией и доступом.
• Тот же кластер угроз связан с более широкой схемой длительных кампаний, которые выдают себя за доверенных контактов и бренды в общих каналах совместной работы, таких как Telegram, LinkedIn и Slack.
• Отраслевые исследователи задокументировали растущий набор инструментов: поддельные виртуальные встречи, редактирование изображений и видео с помощью ИИ и другие обманные тактики, которые снижают сопротивление для социальной инженерии.
• Аналитики по безопасности предупреждают, что угроза распространяется далеко за пределы бирж на разработчиков, участников и всех, у кого есть доступ к криптоинфраструктуре.

ИИ изменяет ландшафт угроз

Инцидент Zerion подчеркивает сдвиг в том, как разворачиваются нарушения в криптоэкосистемах. Zerion заявил, что злоумышленник получил доступ к сеансам некоторых членов команды, учетным данным и приватным ключам, используемым для горячих кошельков. Компания описала событие как операцию социальной инженерии с использованием ИИ, указывая, что инструменты искусственного интеллекта были развернуты для совершенствования фишинговых сообщений, подделок и других манипулятивных техник.

Эта оценка соответствует более ранним выводам отраслевых исследователей, которые наблюдали, как связанные с КНДР группы обостряют свои методики социальной инженерии. В частности, Security Alliance (SEAL) сообщила об отслеживании и блокировке 164 доменов, связанных с UNC1069, в течение двухмесячного периода с февраля по апрель, отметив, что группа проводит многонедельные кампании с низким давлением через Telegram, LinkedIn и Slack. Субъекты выдают себя за известных контактов или авторитетные бренды или используют доступ к ранее скомпрометированным аккаунтам для создания доверия и эскалации доступа.

Подразделение безопасности Google, Mandiant, подробно описало развивающийся рабочий процесс группы, включая документированное использование поддельных встреч Zoom и редактирование изображений или видео с помощью ИИ на этапе социальной инженерии. Сочетание обмана и инструментов ИИ затрудняет для получателей различение легитимных коммуникаций от мошеннических, увеличивая вероятность успешных вторжений.

Поверхность угроз КНДР расширяется за пределы бирж

Помимо случая с Zerion, исследователи подчеркнули, что угрозные субъекты из Северной Кореи внедрились в криптоэкосистемы в течение многих лет. Разработчик MetaMask и исследователь безопасности Тейлор Монахан отметил, что ИТ-работники КНДР участвовали в многочисленных протоколах и проектах как минимум семь лет, подчеркивая постоянное присутствие в секторе. Интеграция инструментов ИИ в эти кампании усиливает риск, обеспечивая более убедительные подделки и оптимизированные рабочие процессы социальной инженерии.

Аналитики из Elliptic обобщили развивающуюся угрозу в блог-посте, подчеркнув, что группа КНДР действует по двум векторам атак — одна сложная, другая более оппортунистическая — нацеленные на отдельных разработчиков, участников проектов и всех, у кого есть доступ к криптоинфраструктуре. Наблюдение перекликается с тем, что видят Zerion и другие на местах: барьер для входа для нарушений через социальную инженерию ниже, чем когда-либо, благодаря способности ИИ автоматизировать и адаптировать обманный контент в масштабе.

По мере того как повествование расширяется, наблюдатели подчеркивают, что человеческий фактор — учетные данные, токены сеансов, приватные ключи и доверительные отношения — продолжает оставаться основной точкой входа. Изменение тактики означает, что компании должны защищать не только свой код и развертывания, но и целостность внутренних коммуникаций и путей доступа, которые соединяют команды с критическими активами.

За чем читателям следует следить дальше

Учитывая сквозной характер этих атак, участники рынка и разработчики должны отслеживать несколько развивающихся направлений. Во-первых, эпизод с Drift Protocol и инцидент Zerion вместе иллюстрируют, что связанные с КНДР субъекты проводят многоэтапный, долгосрочный подход, который сочетает традиционную социальную инженерию с созданием контента с использованием ИИ. Это подразумевает, что краткосрочные исправления — такие как исправление одной уязвимости или оповещение о подозрительном коде — будут недостаточными без усиленного контроля идентификации и доступа во всей организации.

Во-вторых, расширение обмана с использованием ИИ на обычные каналы совместной работы предполагает, что защитники должны усилить мониторинг аномальных сеансов входа, необычных эскалаций привилегий и подозрительных подделок в рамках внутренних платформ обмена сообщениями и встреч. Как показали SEAL и Mandiant, злоумышленники используют существующие доверительные отношения для снижения подозрений, делая бдительность на человеческом уровне необходимой наряду с техническими средствами контроля.

Наконец, более широкая экосистема должна ожидать продолжения публичной отчетности и анализа от исследователей по мере появления новых инцидентов. Конвергенция ИИ с социальной инженерией поднимает вопросы о регулирующих и отраслевых стандартах реагирования на инциденты, управления рисками поставщиков и обучения пользователей. По мере того как индустрия усваивает эти уроки, будет критически важно отслеживать, как кошельки, протоколы и фирмы безопасности адаптируются к сценарию злоумышленников, который все больше подчеркивает человеческий элемент в сочетании с инструментами ИИ.

Для продолжающегося контекста читатели могут ознакомиться с анализом эксплойта Drift Protocol, связанным с той же деятельностью, связанной с КНДР, консультативным сообщением SEAL по отслеживанию UNC1069 и оценкой Mandiant техник группы, включая обман с помощью ИИ. Комментарии исследователей, изучавших субъектов КНДР — таких как Тейлор Монахан и Elliptic — помогают осветить глубину и устойчивость угрозы, подчеркивая, что ландшафт угроз касается не только уязвимых смарт-контрактов, но и того, как команды защищают своих людей, а также свой код.

По мере развития этой области, события, за которыми следует следить, включают новые обновления по делам от Zerion и Drift Protocol, любые изменения в инструментах угрозных субъектов и регулирующие ответы, направленные на улучшение прозрачности и устойчивости в криптобизнесе. Ключевая сквозная линия остается ясной: самая сильная защита сочетает надежную гигиену идентификации с бдительной, информированной ИИ позицией безопасности, которая может обнаружить и предотвратить сложные кампании социальной инженерии до их удара.

Эта статья была первоначально опубликована как Северокорейские хакеры развертывают управляемую ИИ социальную инженерию на Zerion на Crypto Breaking News — вашем надежном источнике криптовалютных новостей, новостей Bitcoin и обновлений блокчейна.