微软警告：朝鲜黑客开始运用 AI 加强网络间谍活动

关键词

最新微软报告显示，与朝鲜有关的黑客组织开始应用人工智能技术，提高其网络行动的效率和效果。

报告指出，这些黑客正在学习利用基于大语言模型（LLM）的 AI 工具，增强网络攻击活动的成效。

“他们利用这些工具来加强针对朝鲜半岛问题专家的鱼叉式网络钓鱼活动，这一手法不断明智且高效。”

微软在报告中指出。微软特别提到了一个名为 Emerald Sleet（亦称为Kimusky或TA427）的黑客组织，观察到其使用 LLM 技术帮助提升针对朝鲜半岛专家的网络钓鱼攻击力度。

该报告还提到，这些黑客利用 AI 技术的最新进展来研究安全漏洞，并对专注于研究朝鲜问题的组织和专家进行侦查。

此外，微软表示它们还运用了 LLMs 来解决技术难题、执行基础脚本任务和撰写网络钓鱼邮件内容，并和 OpenAI 合作封禁了相关的威胁账户和资产。

根据研究人员发布的报告显示，Kimusky 利用看似友好的对话开始方式，与目标展开长期的沟通，以获取重要信息。

Kimusky 的常见手法是使用与智库和非政府组织相关的身份来使其恶意邮件看起来更加合法，提高了攻击的成功率。

近月来，这个国家支持的黑客组织还开始滥用宽松的基于域的消息认证体系（DMARC），通过伪装各种身份和植入网页信标（即追踪像素），以便绘制目标人物的概况，显示出它们对策略调整具有的敏捷性。

“这些网页信标主要用于最初的侦察工作，验证目标邮箱是否有效，同时收集关于收件人网络环境的一些基本信息，比如外部可见的 IP 地址、用户的浏览器类型，以及他们打开邮件的时间。”报告中说。

这一事态发展正值朝鲜黑客组织继续从事加密货币抢劫和供应链攻击之际，一名被称为 Jade Sleet 的威胁者与2023 年 6 月从爱沙尼亚一家加密公司盗窃至少 3500 万美元以及从一家加密货币公司盗窃超过 1.25 亿美元有关。一个月后，新加坡的加密货币平台出现了。

Jade Sleet，与其他被跟踪的黑客团伙 TraderTraitor 和 UNC4899 有重叠，也在 2023 年 8 月对在线加密货币赌场发动攻击，并使用假冒的 GitHub 仓库和恶意 npm 包来选择性攻击加密货币和科技企业的员工。

在 2023 年 8 月，一个位于德国的 IT 公司遭到了名为 Diamond Sleet（别名Lazarus Group）的黑客组织的侵害，然后在 11 月通过对台湾一家 IT 公司的软件进行供应链攻击。

微软威胁分析中心（MTAC）的负责人Clint Watts表示：“这样做主要是为了为该国的武器计划筹集资金，同时也为了收集有关美国、韩国和日本的情报。”Lazarus Group 还以使用复杂方法而著称，比如在 Windows 系统中利用 Phantom DLL 劫持技巧以及在 macOS 系统中操纵透明度、许可和控制（TCC）数据库，这些手法进一步展示了其狡猾和难以捉摸的特性，据安全公司Interpres Security的分析。

这些发现发生在 Konni（又名Vedalia）组织使用 Windows 快捷方式（LNK）文件传播恶意软件的背景下。赛门铁克公司提到：“该黑客组织利用双重扩展名技巧隐藏真正的.lnk扩展名，并且在 LNK 文件中填充了大量的空白字符，以掩盖恶意指令行。在攻击过程中，这些命令行脚本会努力检测 PowerShell 以逃避侦测，并寻找潜藏在文件中的恶意载荷。”