Hacker Triều Tiên dùng AI tấn công ví Zerion, đánh cắp 100.000 USD bằng kỹ thuật thao túng tâm lý

Ví tiền điện tử Zerion tiết lộ rằng các tin tặc liên quan đến Triều Tiên đã sử dụng AI trong một cuộc tấn công kỹ thuật xã hội dài hạn để đánh cắp khoảng 100.000 USD từ các ví nóng của công ty vào tuần trước.

Đây là cuộc tấn công kỹ thuật xã hội dài hạn thứ hai trong tháng này, sau vụ khai thác trị giá 280 triệu USD nhắm vào Drift Protocol.

Đội ngũ Zerion đã công bố một bản phân tích sau sự cố vào thứ Tư, trong đó xác nhận rằng không có tiền của người dùng, ứng dụng Zerion hay cơ sở hạ tầng nào bị ảnh hưởng và họ đã chủ động vô hiệu hóa ứng dụng web như một biện pháp phòng ngừa.

Mặc dù số tiền tương đối nhỏ so với các vụ hack tiền điện tử khác, nhưng đây là một sự cố khác về việc nhân viên ngành tiền điện tử bị nhắm mục tiêu cho một *“cuộc tấn công kỹ thuật xã hội có hỗ trợ của AI liên quan đến một tác nhân đe dọa từ DPRK,”* Zerion cho biết.

Đây là cuộc tấn công thứ hai thuộc loại này trong tháng này, sau vụ khai thác trị giá 280 triệu USD của Drift Protocol, vốn là nạn nhân của một *“hoạt động tình báo có cấu trúc”* bởi các tin tặc liên quan đến DPRK. Lớp con người, chứ không phải các lỗi hợp đồng thông minh, hiện đã trở thành điểm xâm nhập chính của Triều Tiên vào các công ty tiền điện tử.

AI đang thay đổi cách thức hoạt động của các mối đe dọa mạng

Zerion cho biết kẻ tấn công đã giành được quyền truy cập vào một số phiên đăng nhập và thông tin xác thực của các thành viên trong đội ngũ, cũng như các khóa riêng tư của các ví nóng công ty.

“Sự cố này cho thấy AI đang thay đổi cách thức hoạt động của các mối đe dọa mạng,” công ty cho biết.

Công ty xác nhận rằng cuộc tấn công tương tự như những vụ việc đã được Liên minh An ninh (SEAL) điều tra vào tuần trước.

SEAL báo cáo rằng họ đã theo dõi và chặn 164 tên miền liên quan đến nhóm UNC1069 của DPRK trong khoảng thời gian hai tháng từ tháng 2 đến tháng 4.

Tổ chức này tuyên bố rằng nhóm này vận hành các *“chiến dịch kỹ thuật xã hội kéo dài nhiều tuần với áp lực thấp”* trên Telegram, LinkedIn và Slack. Các tác nhân độc hại giả danh các liên hệ quen thuộc hoặc các thương hiệu uy tín, hoặc tận dụng quyền truy cập vào các tài khoản cá nhân và công ty đã bị xâm nhập trước đó.

“Phương pháp kỹ thuật xã hội của UNC1069 được xác định bởi sự kiên nhẫn, chính xác và việc cố tình vũ khí hóa các mối quan hệ tin cậy hiện có.”

Đơn vị an ninh mạng Mandiant của Google đã trình bày chi tiết vào tháng 2 về việc nhóm này sử dụng các cuộc họp Zoom giả mạo và một *“việc sử dụng các công cụ AI đã biết của tác nhân đe dọa để chỉnh sửa hình ảnh hoặc video trong giai đoạn kỹ thuật xã hội.”*

Kỹ thuật xã hội của DPRK đang tiến hóa

Đầu tháng này, nhà phát triển MetaMask và nhà nghiên cứu bảo mật Taylor Monahan cho biết các nhân viên công nghệ thông tin Triều Tiên đã thâm nhập vào các công ty tiền điện tử và các dự án tài chính phi tập trung trong ít nhất bảy năm qua.

“Sự phát triển của các kỹ thuật xã hội của DPRK, kết hợp với tính sẵn có ngày càng tăng của AI để tinh chỉnh và hoàn thiện các phương pháp này, có nghĩa là mối đe dọa sẽ mở rộng ra xa hơn các sàn giao dịch,” công ty bảo mật blockchain Elliptic cho biết trong một bài đăng trên blog vào đầu năm nay.

“Các nhà phát triển cá nhân, những người đóng góp cho dự án và bất kỳ ai có quyền truy cập vào cơ sở hạ tầng tài sản tiền điện tử đều là mục tiêu tiềm năng.”