概要
北朝鮮に関連する脅威アクターであるUNC1069は、WindowsとmacOSシステムから機密情報を盗むために、暗号通貨セクターを標的にしています。この攻撃では、Telegramの偽アカウントやZoom会議の模倣サイト、AI生成ビデオを使用した社会工学的手法が用いられています。
UNC1069の活動
UNC1069は2018年4月から活動しており、フィッシングメールや偽の会議招待を通じて金融的利益を得るための社会工学キャンペーンを展開しています。この脅威アクターは、Geminiなどの生成人工知能(AI)ツールを使用して、暗号通貨に関連する誘導材料を作成し、その他のメッセージングも行っています。
最新の攻撃手法
UNC1069は、Telegramを通じて架空のベンチャーキャピタリストとして接触を試みます。その後、Calendlyを使用して30分間の会議をスケジュールし、偽のZoomウェブサイトにリダイレクトします。
攻撃の詳細
この攻撃では、以下の手順が行われます:
- Telegram経由での接触:架空のベンチャーキャピタリストとして連絡を試みる。
- Calendlyを使用した会議スケジューリング:30分間の会議をスケジュールする。
- 偽のZoomウェブサイトへのリダイレクト:実際のZoomウェブサイト(zoom.uswe05[.]us)に似せた偽のウェブサイトにリダイレクトされる。
この後、攻撃者はAI生成ビデオや深層学習画像を使用して、被害者を欺きます。そして、音声問題があると偽ってボーグエラー画面を見せ、クリックフィックス風のトラブルシューティングコマンドをダウンロード・実行するよう促します。
マルウェアファミリー
UNC1069は、WAVESHAPER、HYPERCALL、HIDDENCALL、SUGARLOADER、DEEPBREATH、CHROMEPUSH、SILENCELIFTという7つの異なるマルウェアファミリを使用しています。
- WAVESHAPER:システム情報を収集し、HYPERCALLと呼ばれるGoベースのダウンローダーを配布する。
- HIDDENCALL:ハンドズオンキーボードアクセスを提供し、SwiftベースのデータマイナーDEEPBREATHを展開する。
- SUGARLOADER:CHROMEPUSHと呼ばれるC++ダウンローダーを使用して、CHROMEPUSHを配布する。
- DEEPBREATH:macOSの透明性、同意、コントロール(TCC)データベースを操作し、iCloud Keychain資格情報やブラウザからのデータを盗む。
- CHROMEPUSH:C++で書かれたデータスティーラーであり、Google ChromeとBraveブラウザの拡張機能として配布される。
- SILENCELIFT:システム情報をコマンドアンドコントロール(C2)サーバに送信する。
結論
UNC1069は、暗号通貨スタートアップやソフトウェア開発者、ベンチャーキャピタルファームを主な標的としていますが、新しいマルウェアファミリーの展開により、その能力が大幅に拡大しています。
元記事: https://thehackernews.com/2026/02/north-korea-linked-unc1069-uses-ai.html