文章总结: 朝鲜黑客组织Bluenoroff通过篡改Calendly日历邀请发送仿冒Zoom会议链接,结合深度伪造技术对北美Web3加密货币公司员工发起多阶段攻击。攻击者利用窃取的视频录像、AI生成头像及深度伪造合成视频构建虚假会议界面,并通过HTML诱饵页面窃取受害者摄像头数据。元数据分析显示攻击者使用GPT-4o生成AI肖像、AdobePremierePro进行视频合成,并维持了66天的系统持久化权限。 综合评分: 88 文章分类: 恶意软件,社会工程学,威胁情报,漏洞分析,红队
,48 人被标记为 “已归档”,即此前托管但当前无法直接访问的内容,不过攻击者可能仍保留了副本。另有 1 条记录使用.mov 格式并提供了直接访问链接。</p>
<p>这种分布模式表明,攻击者维护着一个不断增长的媒体库,并根据作战需求轮换活跃诱饵素材。他们会归档旧资产,但保留这些内容以备未来使用。</p>
<p>进行的早期数据抓取与后期文件夹在组成和结构上完全一致,证实攻击者会持续迭代更新其媒体库。这符合长期作战活动的特征,即不断吸收新的受害者素材并刷新诱饵内容。</p>
<p>攻击者能够根据特定目标的职业网络,在假 Zoom 或 Teams 会议中填充目标认识的行业人物。这种能力构成了一种极具威力的社会工程学武器,如果没有提前了解这种攻击手法,几乎无法被察觉。</p>
<p>攻击者托管基础设施上的内容被组织成多个独立的操作文件夹,每个文件夹在生产流水线中承担特定功能:</p>
<p>| 文件夹路径 | 文件数量 | 内容描述 | 检测到的 AI 内容 |
| — | — | — | — |
| /dynamic/ | 254 | 处理完成的 MP4 视频、JPG 照片和 PNG 肖像,会议参与者媒体的 “成品” 文件夹 | 7 张 AI 生成 PNG 肖像(C2PA 认证) |
| /webcam/ | 185 | 来自摄像头捕获和屏幕录制的 MP4 视频和图像,包含可疑的 morph.jpg+morph.mp4 文件对 | 无 AI 生成元数据 |
| /onlineimgs/ | 130 | 从网站和社交平台抓取的头像照片(分辨率 200×200 至 960×1280) | 无 AI 生成元数据 |
| /video-scrape/ | 140 | 抓取的真实视频(139 个 MP4,1 个 MOV),其中 17 个通过 Microsoft Clipchamp 网页编辑器编码 | 无 AI 生成元数据 |
| /logo/ | 14 | 品牌标志、会议图标和背景图片,授权的 Shutterstock 库存照片 | 1 张 AI 生成 PNG(会议图标,C2PA 认证) |
| /Wartr/ | 17 | 项目营销素材,在 Adobe Photoshop CS6/2021 中编辑的 Shutterstock 库存照片 | 无 AI 生成元数据 |
| scraped_data/onlineimgs/ | 123 | 早期版本的头像照片抓取数据(与 /onlineimgs/ 几乎相同) | 无 AI 生成元数据 |
| scraped_data/onlinevideos/ | 133 | 早期版本的视频抓取数据(与 /video-scrape/ 几乎相同),包含 macOS 屏幕录制 | 无 AI 生成元数据 |</p>
<h2 id=){kind=logo}
#
#
完整深度伪造生产流水线
#
对攻击者托管媒体的深度元数据分析,揭示了一套精密的四阶段生产流水线,用于批量制造假会议参与者视频:
阶段 1:AI 肖像生成
攻击者使用 ChatGPT/GPT-4o 生成合成面部图像,输出 1024×1024 像素的 PNG 头像。每张图像都以被克隆的真实人物姓名命名,作为后续深度伪造视频的 “面部源”。
阶段 2:源视频捕获
原始视频素材通过三种方式获取,所有方式均通过元数据确认:
- 运行 Windows 10 的 VMware 虚拟机屏幕录制(使用 Microsoft Game DVR/Game Bar)
- macOS 主机原生屏幕录制
- 直接摄像头捕获
这一阶段捕获的内容包括身体动作、背景和音频,将与 AI 生成的面部进行合成。
阶段 3:视频编辑与合成
原始捕获素材在 Adobe Premiere Pro 2021(版本 15.0)中进行组装。通过元数据识别出两个 Premiere 项目文件,主项目文件 target.prproj 被 117 个视频引用,测试项目文件 test.prproj 被 6 个视频引用。最终编码使用 FFmpeg 完成,部分抓取的视频(51 个文件)还通过 Microsoft Clipchamp 进行了额外编辑。
阶段 4:部署
完成的素材被整理到上述文件夹结构中,并由 HTML 诱饵页面引用。/dynamic/ 文件夹存放最终成品,包括配对的 AI 肖像和配套深度伪造视频,其他文件夹存放真实抓取的素材,包括真实头像照片和已识别目标的摄像头录像。
深度伪造操作员画像
#
嵌入在视频文件中的元数据,泄露了负责媒体生产流水线的实际威胁操作员的身份信息:
| 属性 | 具体值 | 信息来源 | | — | — | — | | macOS 用户名 | king | 所有 Premiere Pro 项目路径:/Users/king/Documents/Adobe/Premiere Pro/15.0/ | | 主要硬件 | Apple MacBook Pro(MacBookPro18,1) | 屏幕录制元数据 | | 主机操作系统 | macOS 15.5 | 屏幕录制元数据 | | 客户机操作系统 | Windows 10(VMware 虚拟机) | Game DVR/Game Bar 屏幕捕获元数据 | | 主要 Premiere 项目 | target.prproj | 被 73 个视频引用 | | 次要 Premiere 项目 | test.prproj | 被 6 个视频引用 | | 活动时间段 | 2025 年 5 月至 2026 年 1 月 | 最早 / 最晚视频源时间戳 |
用户名为 “king” 的操作员采用双操作系统工作环境,使用 macOS 作为主系统运行 Adobe Premiere Pro 进行编辑和原生屏幕录制,同时在 VMware 中运行 Windows 10 虚拟机,用于执行或录制假视频通话。
这种将操作员活动隔离在虚拟机中,而在主机上进行编辑的操作安全模式,符合刻意的隔离化设计原则。
操作时间分析
#
对调查收集的数据集进行时间戳分析,揭示了攻击者的操作节奏。将时间转换为韩国标准时间(UTC+9)后,操作员活动集中在标准工作日的 08:00 至 18:00,周一至周五,周末活动极少。
每日活动热力图显示,峰值操作时段为 09:00 至 17:00 韩国标准时间。
这种模式与国家支持的组织遵循常规工作日时间表的特征一致,而非机会主义的犯罪活动。
非 AI 软件工具栈
#
除 AI 生成内容外,通过对攻击者托管媒体文件的元数据分析,还识别出操作员使用的完整非 AI 软件工具栈:
| 工具名称 | 用途 | 引用次数 | | — | — | — | | Adobe Premiere Pro 2021(v15.0) | 视频编辑与合成 | 73 个视频文件引用 Premiere 项目元数据 | | FFmpeg | 视频编码与格式转换 | 所有视频输出的主要编码器 | | Microsoft Clipchamp | 基于网页的视频编辑 | 51 个文件 | | Microsoft Game DVR/Game Bar | Windows 屏幕录制(VMware 客户机) | 18 次引用 | | macOS Screen Recording | macOS 主机屏幕捕获 | 4 次引用 | | Adobe Photoshop CS6/2021 | 图像编辑 | 53 次引用 | | paint.net 5.0.13 | Windows 图像编辑 | 1 个图像 | | Shutterstock(授权库存图像) | 背景图像和营销素材 | 30 次引用 |
#
完整攻击链:从假会议到系统完全沦陷
#
深度伪造假会议只是攻击的入口,攻击者随后通过多阶段无文件攻击技术,在不到五分钟内完成了从初始访问到系统完全控制的全过程。
阶段 1:HTML 诱饵与摄像头窃取
#
点击仿冒诱饵 URL 后,受害者被定向到攻击者托管的 HTML 页面。该页面托管了一个完全独立的嵌入式 JavaScript 应用程序。我们分析了 12 个恢复的 HTML 样本,其中 6 个是 Zoom 品牌,6 个是 Microsoft Teams 品牌。所有样本都共享相同的底层框架和 C2 基础设施,仅在品牌和每次部署的配置上有所不同。
HTML 诱饵执行五个核心恶意功能:
-
伪造的会议界面
页面呈现 Zoom 或 Teams 会议大厅的精确复制品,填充有 CDN 托管的假参与者头像和预录视频片段,模拟活跃的会话。然而这个 “会议” 中没有任何实时参与者。参与者磁贴使用循环播放预录视频的
-
基于浏览器的摄像头和麦克风访问
接下来,页面以加入会议为借口调用 getUserMedia API,捕获受害者自己的实时摄像头画面。一个单独的、隐蔽的 getUserMedia 调用独立于可见的预加入摄像头预览处理窃取流。
-
视频窃取
受害者的摄像头画面被实时窃取到攻击者控制的基础设施。Zoom 变体 POST 到托管 C2 上的相对 /upload 路径。Teams HTTP POST 变体使用硬编码的url。Teams WebSocket 变体通过持久 WSS 连接流式传输。使用 443 端口的 WSS 在操作上具有重要意义。单个长连接取代了每个块的 HTTP 请求,减少了网络日志噪音,并且如果不进行深度数据包检查,WSS 流量与标准 HTTPS 无法区分。
-
操作系统指纹识别
页面在加载时通过 navigator.userAgent 静默枚举受害者的操作系统,在 Windows、macOS 和 Linux 代码路径之间分支执行。
-
针对操作系统定制的有效载荷交付 ClickFix 攻击
受害者进入假会议八秒后,虚假 Zoom 或 Teams 窗口上的一个持久覆盖层宣布受害者的 “SDK 已过时”,并向他们提供一个 “立即更新” 按钮。在 Windows 上,一个假的支持对话框显示看起来是良性的诊断环境变量命令。当受害者点击 “复制” 或按下 Ctrl+C 时,应用程序会静默拦截剪贴板写入,并用攻击者提供的远程代码执行摇篮替换显示的内容。
阶段 2:混淆 PowerShell 下载器
当受害者将被篡改的剪贴板内容粘贴到 Windows 终端或 PowerShell 窗口时,就会执行注入的 PowerShell 命令。这个命令是一个多阶段下载器,它从攻击者的 C2 服务器获取下一阶段的有效载荷。
注入的 PowerShell 命令使用 Base64 编码和 XOR 0x43 混淆来逃避检测。它将下载的内容保存到 % TEMP%\chromechip.log,然后通过 Get-Content | Invoke-Expression 在隐藏的 PowerShell 窗口中执行。最后,脚本会弹出一个 “Zoom 更新成功” 的消息框,完成社会工程学闭环,降低受害者的怀疑。
阶段 3:内存中 PowerShell C2 植入程序 chromechip.log
#
从阶段 2 下载 URL 提供的内容保存到 % TEMP%\chromechip.log 并通过 Get-Content | Invoke-Expression 在隐藏的 PowerShell 窗口中执行。
服务器中存有攻击者如何向目标展示了如何安装虚假的Zoom SDK更新。
假会议模拟
#
当受害者点击假的Zoom链接(例如,hxxps://uu03webzoom[.],US/J/8969791763?pwd=…)他们的浏览器加载的HTML页面并不是重定向到任何真实视频会议平台。
它是一个完全自包含的JavaScript应用程序(约900KB),能够在目标浏览器窗口中直接渲染Zoom或Microsoft Teams会议界面的完美复制。 URL栏依然显示了错别字的域名,但窗口和页面内容看起来和真实的Zoom或Teams通话一模一样,包括工具栏图标、参与者视频窗口、静音/视频按钮以及“活跃扬声器”绿色边框。
当受害者加入了假会议后,受害者会看到一个加载旋转3-5秒(从真实平台的CDN获取以保证真实性),然后输入用户名并点击“加入”。此时,浏览器请求安装摄像头和麦克风,这似乎很正常,因为受害者仍然认为自己是在参加合法的视频通话。一旦他们获得许可,就会进入“会议”。
#
他们进入的假会议室里似乎有其他参与者:下方的视频窗口显示面孔,明显有动作,“活跃扬声器”指示器每3-5秒在参与者间循环,模拟真实对话的节奏。
但这些都不是直播。每个参与者的视频窗口都在渲染上述三种预设媒体资产中的一种,这些素材由HTML页面在运行时加载:可能是盗用的真实人物画面、AI生成的静态图像,或是深度伪造复合视频。
上图为受害者加入假会议时所看到的景象。其他“参与者”可能是被盗、被窃取的受害者摄像头视频、AI生成的虚拟形象,或两者混合。
剩下的是网络武器情况分析,跟以前区别不大,有兴趣自行原文查看。
BlueNoroff Uses ClickFix, Fileless PowerShell, and AI-Generated Fake Zoom Meetings to Target Web3 Sector
IOCs:
https://github.com/rtkwlf/wolf-tools/blob/main/threat-intelligence/bluenoroff-fake-zoom-clickfix/Bluenoroff_Appendix_items.md
推荐阅读
- 网安智库平台长期招聘兼职研究员
- 欢迎加入“安全内参热点讨论群”
文章来源:黑鸟
点击下方卡片关注我们,
带你一起读懂网络安全 ↓
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全内参 《朝鲜黑客组织利用人脸深度伪造技术分析》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论