แฮกเกอร์เกาหลีเหนือใช้เทคนิค Social Engineering ที่ขับเคลื่อนด้วย AI โจมตี Zerion

Zerion เปิดเผยว่าแฮ็กเกอร์ที่มีความเชื่อมโยงกับเกาหลีเหนือใช้วิศวกรรมสังคมที่ขับเคลื่อนด้วย AI ในการขโมยเงินประมาณ 100,000 ดอลลาร์จาก hot wallets ของบริษัทเมื่อสัปดาห์ที่แล้ว ในรายงานหลังเหตุการณ์ที่เผยแพร่เมื่อวันพุธ ผู้ให้บริการกระเป๋าเงินคริปโตยืนยันว่าไม่มีเงินของผู้ใช้ แอป Zerion หรือโครงสร้างพื้นฐานใดๆ ถูกบุกรุก และได้ปิดการใช้งานเว็บแอปเชิงรุกเพื่อเป็นมาตรการป้องกัน

แม้ว่าจำนวนเงินจะไม่มากนักตามมาตรฐานการแฮ็กคริปโต แต่การเปิดเผยของ Zerion เสริมแนวโน้มที่เพิ่มขึ้น: ผู้โจมตีกำลังมุ่งเป้าไปที่ผู้ปฏิบัติงานมนุษย์มากขึ้นด้วยเทคนิคที่ใช้ AI เหตุการณ์นี้เกิดขึ้นควบคู่กับเหตุการณ์ที่โดดเด่นเมื่อต้นเดือน—การโจมตี Drift Protocol มูลค่า 280 ล้านดอลลาร์ที่มีความเชื่อมโยงกับการดำเนินงานของเกาหลีเหนือ—แสดงให้เห็นการเปลี่ยนแปลงที่กว้างขึ้นในวิธีที่ผู้คุกคามเข้าถึงบริษัทคริปโต ชั้นมนุษย์ ไม่ใช่เฟิร์มแวร์หรือสมาร์ทคอนแทรกต์ ได้กลายเป็นจุดเข้าหลักสำหรับการบุกรุกสภาพแวดล้อมคริปโต

ประเด็นสำคัญ

• วิศวกรรมสังคมที่ใช้ AI กำลังกลายเป็นเวกเตอร์การโจมตีหลักสำหรับผู้คุกคามที่เชื่อมโยงกับ DPRK โดยมุ่งเป้าไปที่บุคคลภายในมากกว่าการใช้ประโยชน์จากข้อบกพร่องของโค้ดเพียงอย่างเดียว
• เหตุการณ์ของ Zerion เกี่ยวข้องกับการเข้าถึงเซสชันที่ล็อกอินของสมาชิกทีม ข้อมูลรับรอง และคีย์ส่วนตัวที่เก็บไว้ใน hot wallets ซึ่งเน้นย้ำถึงช่องโหว่ในการจัดการตัวตนและการเข้าถึง
• กลุ่มภัยคุกคามเดียวกันเชื่อมโยงกับรูปแบบที่กว้างขึ้นของแคมเปญระยะยาวที่ปลอมแปลงเป็นผู้ติดต่อและแบรนด์ที่น่าเชื่อถือผ่านช่องทางการทำงานร่วมกันทั่วไป เช่น Telegram, LinkedIn และ Slack
• นักวิจัยในอุตสาหกรรมได้บันทึกชุดเครื่องมือที่เพิ่มขึ้น: การประชุมเสมือนปลอม การแก้ไขภาพและวิดีโอด้วย AI และยุทธวิธีหลอกลวงอื่นๆ ที่ลดแรงเสียดทานสำหรับวิศวกรรมสังคม
• นักวิเคราะห์ความปลอดภัยเตือนว่าภัยคุกคามขยายออกไปไกลเกินกว่าตลาดแลกเปลี่ยนไปยังนักพัฒนา ผู้มีส่วนร่วม และทุกคนที่มีการเข้าถึงโครงสร้างพื้นฐานคริปโต

AI กำลังปรับโฉมภูมิทัศน์ภัยคุกคาม

เหตุการณ์ของ Zerion เน้นย้ำถึงการเปลี่ยนแปลงในวิธีที่การละเมิดเกิดขึ้นในระบบนิเวศคริปโต Zerion ระบุว่าผู้โจมตีได้รับการเข้าถึงเซสชันที่ล็อกอินของสมาชิกทีมบางคน ข้อมูลรับรอง และคีย์ส่วนตัวที่ใช้สำหรับ hot wallets บริษัทอธิบายเหตุการณ์นี้ว่าเป็นการดำเนินงานวิศวกรรมสังคมที่ใช้ AI ซึ่งบ่งชี้ว่ามีการใช้เครื่องมือปัญญาประดิษฐ์เพื่อปรับแต่งข้อความฟิชชิ่ง การปลอมแปลง และเทคนิคบิดเบือนอื่นๆ

การประเมินนี้สอดคล้องกับการค้นพบก่อนหน้านี้จากนักวิจัยในอุตสาหกรรมที่สังเกตเห็นกลุ่มที่มีความเชื่อมโยงกับ DPRK กำลังฝึกฝนคู่มือวิศวกรรมสังคมของพวกเขา โดยเฉพาะ Security Alliance (SEAL) รายงานการติดตามและบล็อกโดเมน 164 โดเมนที่เชื่อมโยงกับ UNC1069 ในช่วงสองเดือนตั้งแต่เดือนกุมภาพันธ์ถึงเดือนเมษายน โดยสังเกตว่ากลุ่มดังกล่าวดำเนินแคมเปญหลายสัปดาห์แบบกดดันต่ำผ่าน Telegram, LinkedIn และ Slack ผู้กระทำการปลอมแปลงเป็นผู้ติดต่อที่รู้จักหรือแบรนด์ที่มีชื่อเสียง หรือใช้ประโยชน์จากการเข้าถึงบัญชีที่ถูกบุกรุกก่อนหน้านี้เพื่อสร้างความไว้วางใจและเพิ่มการเข้าถึง

แผนกความปลอดภัยของ Google, Mandiant ได้ให้รายละเอียดเกี่ยวกับขั้นตอนการทำงานที่พัฒนาของกลุ่ม รวมถึงการใช้การประชุม Zoom ปลอมและการแก้ไขภาพหรือวิดีโอด้วย AI ในระหว่างขั้นตอนวิศวกรรมสังคม การผสมผสานระหว่างการหลอกลวงและเครื่องมือ AI ทำให้ผู้รับยากขึ้นในการแยกแยะการสื่อสารที่ถูกต้องจากการสื่อสารที่หลอกลวง เพิ่มโอกาสของการบุกรุกที่ประสบความสำเร็จ

พื้นผิวภัยคุกคามของ DPRK ขยายออกไปเกินกว่าตลาดแลกเปลี่ยน

นอกเหนือจากกรณีของ Zerion นักวิจัยได้เน้นย้ำว่าผู้คุกคามเกาหลีเหนือได้ฝังตัวอยู่ในระบบนิเวศคริปโตเป็นเวลาหลายปี นักพัฒนา MetaMask และนักวิจัยด้านความปลอดภัย Taylor Monahan สังเกตว่าพนักงาน IT ของ DPRK มีส่วนร่วมในโปรโตคอลและโครงการจำนวนมากเป็นเวลาอย่างน้อยเจ็ดปี เน้นย้ำถึงการปรากฏตัวอย่างต่อเนื่องในภาคส่วน การบูรณาการเครื่องมือ AI เข้ากับแคมเปญเหล่านี้เพิ่มความเสี่ยง ทำให้การปลอมแปลงน่าเชื่อถือมากขึ้นและขั้นตอนการทำงานของวิศวกรรมสังคมคล่องตัวขึ้น

นักวิเคราะห์จาก Elliptic ได้สรุปภัยคุกคามที่พัฒนาขึ้นในบล็อกโพสต์ โดยเน้นว่ากลุ่ม DPRK ดำเนินการตามเวกเตอร์การโจมตีสองแบบ—หนึ่งซับซ้อน อีกหนึ่งฉวยโอกาสมากกว่า—โดยมุ่งเป้าไปที่นักพัฒนารายบุคคล ผู้มีส่วนร่วมในโครงการ และทุกคนที่มีการเข้าถึงโครงสร้างพื้นฐานคริปโต การสังเกตสะท้อนสิ่งที่ Zerion และอื่นๆ กำลังเห็นในพื้นที่: อุปสรรคในการเข้าสู่การละเมิดวิศวกรรมสังคมต่ำกว่าที่เคย ด้วยความสามารถของ AI ในการทำให้เนื้อหาหลอกลวงเป็นอัตโนมัติและปรับแต่งในระดับขนาดใหญ่

เมื่อเรื่องราวขยายกว้างขึ้น ผู้สังเกตการณ์เน้นย้ำว่าปัจจัยมนุษย์—ข้อมูลรับรอง โทเค็นเซสชัน คีย์ส่วนตัว และความสัมพันธ์ที่น่าเชื่อถือ—ยังคงเป็นจุดเข้าหลัก การเปลี่ยนแปลงยุทธวิธีหมายความว่าบริษัทต้องปกป้องไม่เพียงแค่โค้ดและการปรับใช้ของพวกเขา แต่ยังรวมถึงความสมบูรณ์ของการสื่อสารภายในและเส้นทางการเข้าถึงที่เชื่อมต่อทีมกับสินทรัพย์ที่สำคัญ

สิ่งที่ผู้อ่านควรติดตามต่อไป

เมื่อพิจารณาจากลักษณะข้ามสายของการโจมตีเหล่านี้ ผู้เข้าร่วมตลาดและผู้สร้างควรติดตามหลายเรื่องที่กำลังพัฒนา ประการแรก เหตุการณ์ของ Drift Protocol และ Zerion แสดงให้เห็นร่วมกันว่าผู้คุกคามที่เชื่อมโยงกับ DPRK กำลังดำเนินแนวทางหลายขั้นตอนระยะยาวที่ผสมผสานวิศวกรรมสังคมแบบดั้งเดิมกับการสร้างเนื้อหาที่เพิ่มเติมด้วย AI สิ่งนี้บ่งบอกว่าการแก้ไขระยะสั้น—เช่น การแก้ไขช่องโหว่เดียวหรือการแจ้งเตือนเกี่ยวกับโค้ดที่น่าสงสัย—จะไม่เพียงพอหากปราศจากการควบคุมตัวตนและการเข้าถึงที่เข้มแข็งขึ้นทั่วทั้งองค์กร

ประการที่สอง การขยายตัวของการหลอกลวงที่ใช้ AI เข้าสู่ช่องทางการทำงานร่วมกันทั่วไปบ่งชี้ว่าผู้ปกป้องควรเพิ่มการติดตามเซสชันการเข้าสู่ระบบที่ผิดปกติ การยกระดับสิทธิ์ที่ผิดปกติ และการปลอมแปลงที่น่าสงสัยภายในแพลตฟอร์มข้อความและการประชุมภายใน ดังที่ SEAL และ Mandiant ได้แสดงให้เห็น ผู้โจมตีใช้ประโยชน์จากความสัมพันธ์ความไว้วางใจที่มีอยู่เพื่อลดความสงสัย ทำให้ความระมัดระวังในระดับมนุษย์จำเป็นควบคู่ไปกับการควบคุมทางเทคนิค

สุดท้าย ระบบนิเวศที่กว้างขึ้นควรคาดหวังการรายงานและการวิเคราะห์สาธารณะอย่างต่อเนื่องจากนักวิจัยเมื่อเหตุการณ์เพิ่มมากขึ้น การบรรจบกันของ AI กับวิศวกรรมสังคมทำให้เกิดคำถามเกี่ยวกับมาตรฐานกฎระเบียบและอุตสาหกรรมสำหรับการตอบสนองต่อเหตุการณ์ การจัดการความเสี่ยงของผู้ขาย และการศึกษาผู้ใช้ เมื่ออุตสาหกรรมดูดซับบทเรียนเหล่านี้ จะเป็นสิ่งสำคัญในการติดตามว่ากระเป๋าเงิน โปรโตคอล และบริษัทด้านความปลอดภัยปรับตัวกับคู่มือผู้โจมตีที่เน้นองค์ประกอบมนุษย์ร่วมกับเครื่องมือ AI มากขึ้นอย่างไร

สำหรับบริบทที่ต่อเนื่อง ผู้อ่านสามารถตรวจสอบการวิเคราะห์การโจมตี Drift Protocol ที่เชื่อมโยงกับกิจกรรมที่เชื่อมโยงกับ DPRK เดียวกัน คำแนะนำของ SEAL ที่ติดตาม UNC1069 และการประเมินของ Mandiant เกี่ยวกับเทคนิคของกลุ่ม รวมถึงการหลอกลวงที่ช่วยเหลือด้วย AI ความคิดเห็นจากนักวิจัยที่ศึกษาผู้กระทำการของ DPRK—เช่น Taylor Monahan และ Elliptic—ช่วยให้เข้าใจความลึกและความต่อเนื่องของภัยคุกคาม เน้นย้ำว่าภูมิทัศน์ภัยคุกคามไม่ได้เกี่ยวกับสมาร์ทคอนแทรกต์ที่เปิดเผยเท่านั้น แต่เกี่ยวกับวิธีที่ทีมปกป้องผู้คนของพวกเขาเช่นเดียวกับโค้ดของพวกเขา

เมื่อพื้นที่นี้พัฒนา การพัฒนาที่ต้องติดตามรวมถึงการอัปเดตกรณีใหม่จาก Zerion และ Drift Protocol การเปลี่ยนแปลงใดๆ ในเครื่องมือผู้คุกคาม และการตอบสนองด้านกฎระเบียบที่มุ่งปรับปรุงความโปร่งใสและความยืดหยุ่นในธุรกิจคริปโต สายหลักที่ชัดเจนยังคงอยู่: การป้องกันที่แข็งแกร่งที่สุดผสมผสานสุขอนามัยตัวตนที่แข็งแกร่งกับท่าทีความปลอดภัยที่ระมัดระวังและมีข้อมูลจาก AI ที่สามารถตรวจจับและยับยั้งแคมเปญวิศวกรรมสังคมที่ซับซ้อนก่อนที่จะเกิดขึ้น

บทความนี้ตีพิมพ์ครั้งแรกเป็น North Korean Hackers Deploy AI-Driven Social Engineering on Zerion บน Crypto Breaking News – แหล่งข้อมูลที่คุณไว้วางใจสำหรับข่าวคริปโต ข่าว Bitcoin และอัปเดตบล็อกเชน