北韓駭客現在正使用一種稱為 EtherHiding 的區塊鏈方法來傳遞惡意軟體,以促進其加密貨幣盜竊行動。根據專家表示,一名北韓駭客被發現使用這種方法,攻擊者將 JavaScript 有效載荷等程式碼嵌入區塊鏈智能合約中。
使用這種方法,駭客將去中心化帳本轉變為一個彈性的指揮與控制(C2)系統。根據 Google 威脅情報小組(GTIG)發布的部落格文章,這是該小組首次觀察到這種規模的行為者使用此方法。該小組聲稱,在面對傳統的取締和封鎖名單措施時,使用 EtherHiding 非常方便。威脅情報小組提到,自 2025 年 2 月以來,他們一直在追蹤威脅行為者 UNC5342,該行為者將 EtherHiding 整合到正在進行的社交工程活動中。
北韓駭客轉向使用 EtherHiding
Google 提到,他們已將 EtherHiding 的使用與 Palo Alto Networks 追蹤的社交工程活動「Contagious Interview」(傳染性面試)聯繫起來。Contagious Interview 是由北韓行為者執行的。根據 Socket 研究人員表示,該組織透過新的惡意軟體載入器 XORIndex 擴展了其行動。該載入器已累積了數千次下載,目標是求職者和被認為擁有數位資產或敏感憑證的個人。
在這次活動中,北韓駭客使用 JADESNOW 惡意軟體來分發 INVISIBLEFERRET 的 JavaScript 變體,該變體已被用於執行大量加密貨幣盜竊。該活動針對加密貨幣和科技行業的開發人員,竊取敏感數據、數位資產,並獲取企業網絡訪問權限。它還圍繞著一種社交工程策略,使用假招聘人員和虛構公司複製合法的招聘流程。
假招聘人員被用來誘使候選人進入 Telegram 或 Discord 等平台。之後,惡意軟體通過偽裝成技術評估或面試修復的假編碼測試或軟體下載傳遞到他們的系統和設備中。該活動使用多階段惡意軟體感染過程,通常涉及 JADESNOW、INVISIBLEFERRET 和 BEAVERTAIL 等惡意軟體,以破壞受害者的設備。該惡意軟體影響 Windows、Linux 和 macOS 系統。
研究人員詳述 EtherHiding 的缺點
EtherHiding 為攻擊者提供了更好的優勢,GTIG 指出它是一個特別難以緩解的威脅。EtherHiding 令人擔憂的一個核心要素是其去中心化的本質。這意味著它存儲在無需許可的去中心化區塊鏈上,使執法機構或網絡安全公司難以將其取締,因為它沒有中央服務器。由於區塊鏈交易的假名性質,攻擊者的身份也難以追蹤。
如果你不是合約的擁有者,也很難移除部署在區塊鏈上的智能合約中的惡意代碼。控制智能合約的攻擊者,在這種情況下是北韓駭客,還可以選擇隨時更新惡意有效載荷。雖然安全研究人員可能會嘗試通過標記惡意合約來警告社區,但這並不能阻止駭客使用智能合約進行惡意活動。
此外,攻擊者可以使用不會在區塊鏈上留下可見交易歷史的只讀調用來檢索其惡意有效載荷,使研究人員難以追蹤他們在區塊鏈上的活動。根據威脅研究報告,EtherHiding 代表了「向下一代防彈託管的轉變」,其中區塊鏈技術最明顯的特點被詐騙者用於惡意目的。
加入高級加密貨幣交易社區,前 30 天免費 – 通常每月 $100。
來源:https://www.cryptopolitan.com/north-korean-hackers-crypto-stealing-malware/
