北朝鮮のハッカー、ZerionでAI駆動のソーシャルエンジニアリングを展開

Zerionは、先週、北朝鮮系ハッカーがAI駆動のソーシャルエンジニアリングを使用して同社のホットウォレットから約10万ドルを引き出したことを明らかにしました。水曜日に公開された事後報告書で、この暗号資産ウォレットプロバイダーは、ユーザー資金、Zerionアプリ、またはインフラストラクチャが侵害されていないことを確認し、予防措置としてウェブアプリを積極的に無効化しました。

暗号資産ハッキングの基準では金額は控えめですが、Zerionの開示は増加傾向を強調しています:攻撃者はAI 駆動技術を用いて人間のオペレーターをますます標的にしています。この事件は、今月初めの注目度の高いエピソード―北朝鮮関連の作戦によるDrift Protocolの2億8,000万ドルの攻撃―と並行しており、脅威アクターが暗号資産企業にアプローチする方法の広範な変化を示しています。人間のレイヤーは、ファームウェアやスマートコントラクトではなく、暗号資産環境への侵入の主要なエントリーポイントになっています。

重要なポイント

• AI 駆動のソーシャルエンジニアリングは、DPRK関連アクターの主要な攻撃ベクターとして浮上しており、コードのバグだけを悪用するのではなく、内部関係者を標的にしています。
• Zerionの事件は、チームメンバーのログインセッション、資格情報、およびホットウォレットに保管されている秘密鍵へのアクセスを含み、アイデンティティとアクセス管理の脆弱性を強調しています。
• 同じ脅威クラスターは、Telegram、LinkedIn、Slackなどの一般的なコラボレーションチャネル全体で信頼できる連絡先やブランドを装う長期キャンペーンのより広範なパターンに結びついています。
• 業界の研究者は、拡大するツールボックスを文書化しています:偽の仮想会議、AI支援の画像および動画編集、およびソーシャルエンジニアリングの摩擦を減らすその他の欺瞞的な戦術。
• セキュリティーアナリストは、脅威が取引所をはるかに超えて開発者、貢献者、および暗号資産インフラストラクチャへのアクセス権を持つすべての人に及ぶと警告しています。

AIが脅威の状況を再構築

Zerionの事件は、暗号資産エコシステムにおける侵害の展開方法の変化を浮き彫りにしています。Zerionは、攻撃者が一部のチームメンバーのログインセッション、資格情報、およびホットウォレットに使用される秘密鍵へのアクセスを獲得したと述べました。同社は、このイベントをAI 駆動のソーシャルエンジニアリング作戦と説明し、人工知能ツールがフィッシングメッセージ、なりすまし、およびその他の操作技術を洗練させるために展開されたことを示しています。

この評価は、DPRK関連グループがソーシャルエンジニアリングのプレイブックを磨いているのを観察した業界研究者の以前の調査結果と一致しています。特に、Security Alliance(SEAL)は、2月から4月までの2か月間にUNC1069にリンクされた164のドメインを追跡およびブロックしたと報告し、このグループがTelegram、LinkedIn、Slackを通じて数週間にわたる低圧力キャンペーンを実行していることを指摘しました。アクターは、既知の連絡先または評判の良いブランドを装ったり、以前に侵害されたアカウントへのアクセスを活用して信頼を構築し、アクセスをエスカレートします。

Googleのセキュリティー部門であるMandiantは、ソーシャルエンジニアリング段階での偽のZoom会議の使用やAI支援による画像または動画の編集を含む、グループの進化するワークフローを詳しく説明しています。欺瞞とAIツールの組み合わせにより、受信者が正当な通信と不正な通信を区別することが困難になり、侵入成功の可能性が高まります。

DPRK脅威の範囲が取引所を超えて拡大

Zerionのケース以外にも、研究者は北朝鮮の脅威アクターが何年も暗号資産エコシステムに組み込まれていることを強調しています。メタマスク開発者でセキュリティー研究者のTaylor Monahanは、DPRK IT労働者が少なくとも7年間、多数のプロトコルとプロジェクトに関与していることを指摘し、セクター全体での持続的な存在を強調しています。これらのキャンペーンへのAIツールの統合はリスクを悪化させ、より説得力のあるなりすましと合理化されたソーシャルエンジニアリングワークフローを可能にします。

Ellipticのアナリストはブログ投稿で進化する脅威を要約し、DPRKグループが2つの攻撃ベクターに沿って活動していることを強調しています―1つは洗練されたもので、もう1つはより日和見的なもので―個々の開発者、プロジェクト貢献者、および暗号資産インフラストラクチャへのアクセス権を持つすべての人を標的にしています。この観察は、Zerionや他の企業が現場で見ているものと一致しています:AIがスケールで欺瞞的なコンテンツを自動化し調整する能力のおかげで、ソーシャルエンジニアリングによる侵害のエントリーの障壁はこれまで以上に低くなっています。

物語が広がるにつれて、観察者は人的要因―資格情報、セッショントークン、秘密鍵、および信頼関係―が主要なエントリーポイントであり続けることを強調しています。戦術の変化は、企業がコードと展開だけでなく、チームを重要な資産に接続する内部通信とアクセスパスの完全性も防御しなければならないことを意味します。

読者が次に注目すべきこと

これらの攻撃の横断的な性質を考えると、マーケット参加者と構築者はいくつかの発展する糸を監視する必要があります。第一に、Drift ProtocolのエピソードとZerionの事件は、DPRK関連アクターが従来のソーシャルエンジニアリングとAI拡張コンテンツ作成を組み合わせた多段階の長期的アプローチを追求していることを共に示しています。これは、単一の脆弱性のパッチや疑わしいコードの警告などの短期的な修正は、組織全体にわたる強化されたアイデンティティとアクセス制御なしには不十分であることを意味します。

第二に、通常のコラボレーションチャネルへのAI 駆動欺瞞の拡大は、防御者が異常なログインセッション、異常な特権エスカレーション、および内部メッセージングおよび会議プラットフォーム内の疑わしいなりすましの監視を強化すべきことを示唆しています。SEALとMandiantが示しているように、攻撃者は既存の信頼関係を活用して疑念を低下させ、技術的制御と並んで人間レベルの警戒を不可欠にしています。

最後に、より広範なエコシステムは、より多くの事件が表面化するにつれて、研究者からの継続的な公開報告と分析を予想すべきです。AIとソーシャルエンジニアリングの収束は、インシデント対応、ベンダーリスク管理、およびユーザー教育に関する規制および業界標準について疑問を提起します。業界がこれらの教訓を吸収するにつれて、ウォレット、プロトコル、およびセキュリティー企業が、人間要素とAIツールをますます強調する攻撃者のプレイブックにどのように適応するかを追跡することが重要になります。

継続的な文脈のために、読者は同じDPRK関連活動に結びついたDrift Protocol攻撃分析、UNC1069を追跡するSEALアドバイザリー、およびAI支援欺瞞を含むグループの技術に関するMandiantの評価を確認できます。Taylor MonahanやEllipticなどのDPRKアクターを研究した研究者からの解説は、脅威の深さと持続性を明らかにし、脅威の状況が露出されたスマートコントラクトだけでなく、チームがコードと同様に人々をどのように守るかについてでもあることを強調しています。

この分野が進化するにつれて、注目すべき展開には、ZerionとDrift Protocolからの新しいケースの更新、脅威アクターツールの変化、および暗号資産ビジネスの透明性と回復力を改善することを目的とした規制対応が含まれます。重要な通底線は明確なままです:最強の防御は、堅牢なアイデンティティ衛生と、洗練されたソーシャルエンジニアリングキャンペーンを攻撃前に検出および抑止できる警戒的でAI対応のセキュリティー態勢を組み合わせたものです。

この記事は元々、Crypto Breaking News(暗号資産ニュース、Bitcoinニュース、ブロックチェーン更新の信頼できる情報源)にNorth Korean Hackers Deploy AI-Driven Social Engineering on Zerionとして公開されました。