随着信息技术的高速发展,网络攻击手段也日益多样化和复杂化。近期,朝鲜知名黑客组织蓝北极星(BlueNoroff)利用先进的人工智能深度伪造技术(Deepfake)在Zoom视频会议中伪装成公司高层,诱骗受害者下载针对macOS系统设计的恶意软件,手法令人震惊。此类事件不仅暴露了网络安全的脆弱性,也敲响了企业和个人用户加强防护的警钟。蓝北极星是朝鲜北方知名的高级持续性威胁组织(APT),也称为Sapphire Sleet或TA444,长期以来专注于加密货币窃取,他们的攻击手段涵盖Windows和Mac等多种操作系统。2025年6月,上述攻击行为被安全厂商Huntress率先发现,揭开了这些黑客团队如何借助虚假视频在Zoom会议中混淆视听、实施恶意软件传播的内幕。攻击开始于黑客通过社交平台Telegram联系受害员工,冒充行业专家或外部合作方,谎称要召开线上会议,随后发送了一个Calendly日程邀请链接,链接显示为Google Meet会议邀请,但实际上是黑客控制的假冒Zoom域名。
受害者进入会议后,屏幕上出现伪造的公司高管和其他知名参与者的深度伪造视频,极具迷惑性,增强了攻击的可信度。在会议过程中,受害员工被告知其麦克风出现故障,深度伪造的“高管”指导他们下载所谓的Zoom扩展程序以修复问题。实际上,这个扩展程序是一个苹果脚本文件(zoom_sdk_support.scpt),用户运行后表面上打开一个合法的Zoom SDK网页,但实际在后台执行一条恶意命令,下载安装来自攻击者控制的域名的二次载荷。值得一提的是,攻击脚本会先禁用bash历史记录,悄无声息地检查并安装Rosetta 2兼容层,确保Mac上运行基于x86架构的恶意代码。随后,脚本创建隐藏文件,下载并执行主恶意二进制文件,成为整个攻击链的关键。通过对感染主机的深入分析,研究人员发现了多达八种恶意工具,这些工具涵盖从持久化、远程控制、注入加载、键盘记录、屏幕监控,到加密货币钱包数据窃取的完整攻击生态。
特别引人注目的是名为Telegram 2的持久化组件,该模块伪装成Telegram官方更新程序,得益于有效的开发者证书签名,使其隐藏性极强。还有Root Troy V4后门,使用Go语言编写,可实现远程命令执行及睡眠状态下的任务排队,发挥控制中心作用。注入器a (InjectWithDyld)巧妙利用macOS特定API执行加密植入体的载入和反取证操作。键盘精灵XScreen则在后台静默记录用户敲击,截取屏幕及剪贴板数据,最后将信息发送回黑客的指挥服务器。专门针对加密货币平台的CryptoBot在目标机器上窃取超过20个钱包平台的敏感数据,确保黑客实现财务收益。此次蓝北极星组织的行动表明其已不满足于传统的网络钓鱼,而是借助人工智能与深度伪造技术提高欺骗成功率,尤其针对macOS有针对性地开发自定义恶意软件,打破“Mac较安全”的传统认知。
相信随着macOS在企业环境中的普及,针对该平台的攻击将逐步增多,用户及组织势必需加强自身的安全防护能力。防范此类攻击,关键在于抵制陌生链接和不明软件的下载与安装,同时企业级安全需要加强对远程会议环境的信任验证机制,比如多因素身份验证和视频真实性检测,拒绝轻信视频会议中的异常请求。企业安全团队应联合终端防御、行为分析、威胁情报共享等多种技术手段监控和阻断此类复杂攻击。此次事件还进一步证明了人工智能技术在网络犯罪中的双刃剑角色。深度伪造视频让黑客能够精准模拟可信人物形象,极大地提升了社工攻击效果。对应地,防范措施也需要技术与人力的结合,企业应开展针对性的安全意识培训,让员工对新型攻击手段保持警惕。
除了技术防御外,法律层面对跨国网络攻击的打击和国际合作同样不可或缺。朝鲜蓝北极星组织依托国家支持与持续的技术创新,对全球加密货币市场和企业安全构成威胁,各国与安全组织需通力协作,共享情报与防御策略。综上所述,朝鲜黑客利用Zoom深度伪造视频会议传播Mac恶意软件的事件,标志着网络攻击进入了一个新阶段。企业和个人用户必须更新安全理念、采取更智能化的防护手段,识破虚假信息,杜绝钓鱼攻击,保护数字资产安全。未来网络安全的胜负,将取决于对抗技术的创新与人类防范意识的提升,唯有如此,才能在复杂多变的网络环境中守护信息安全的坚固防线。
