朝鲜黑客现正使用一种名为EtherHiding的基于区块链的方法来传递恶意软件,以促进其加密货币盗窃行动。据专家称,一名朝鲜黑客被发现使用这种方法,攻击者将JavaScript有效载荷等代码嵌入基于区块链的智能合约中。
使用这种方法,黑客将去中心化账本转变为弹性命令和控制(C2)系统。根据谷歌威胁情报组(GTIG)发布的博客文章,这是该组织首次观察到这种规模的行为者使用此方法。该组织声称,在面对传统的取缔和黑名单措施时,使用EtherHiding非常方便。该威胁情报组提到,自2025年2月以来,它一直在追踪威胁行为者UNC5342,将EtherHiding整合到正在进行的社会工程活动中。
朝鲜黑客转向使用EtherHiding
谷歌提到,它已将EtherHiding的使用与Palo Alto Networks追踪的名为Contagious Interview的社会工程活动联系起来。Contagious Interview是由朝鲜行为者执行的。根据Socket研究人员的说法,该组织通过一种新的恶意软件加载器XORIndex扩展了其操作。该加载器已累积了数千次下载,目标是求职者和被认为拥有数字资产或敏感凭证的个人。
在这次活动中,朝鲜黑客使用JADESNOW恶意软件分发INVISIBLEFERRET的JavaScript变体,该变体已被用于执行大量加密货币盗窃。该活动针对加密货币和技术行业的开发人员,窃取敏感数据、数字资产,并获取企业网络访问权限。它还围绕着一种社会工程策略,使用假招聘人员和虚构公司复制合法的招聘流程。
假招聘人员被用来引诱候选人到Telegram或Discord等平台。之后,恶意软件通过伪装成技术评估或面试修复的假编码测试或软件下载传递到他们的系统和设备中。该活动使用多阶段恶意软件感染过程,通常涉及JADESNOW、INVISIBLEFERRET和BEAVERTAIL等恶意软件,以破坏受害者的设备。该恶意软件影响Windows、Linux和macOS系统。
研究人员详述EtherHiding的缺点
EtherHiding为攻击者提供了更好的优势,GTIG指出它是一种特别难以缓解的威胁。EtherHiding令人担忧的一个核心要素是其去中心化的性质。这意味着它存储在无需许可和去中心化的区块链上,使执法机构或网络安全公司难以将其取缔,因为它没有中央服务器。由于区块链交易的匿名性质,攻击者的身份也难以追踪。
如果你不是合约的所有者,也很难移除部署在区块链上的智能合约中的恶意代码。控制智能合约的攻击者,在这种情况下是朝鲜黑客,还可以选择随时更新恶意有效载荷。虽然安全研究人员可能试图通过标记恶意合约来警告社区,但这并不能阻止黑客使用智能合约进行恶意活动。
此外,攻击者可以使用不在区块链上留下可见交易历史的只读调用来检索其恶意有效载荷,使研究人员难以追踪他们在区块链上的活动。根据威胁研究报告,EtherHiding代表了"向下一代防弹托管的转变",其中区块链技术最明显的特征被骗子用于恶意目的。
免费加入高级加密货币交易社区30天 - 通常每月$100。
来源:https://www.cryptopolitan.com/north-korean-hackers-crypto-stealing-malware/
