Северокорейские хакеры расширяют глобальные кибератаки с использованием блокчейн-инструментов

TLDR

• Северокорейские хакеры используют технологию блокчейн для разработки децентрализованных систем управления.
• Поддельные предложения о работе являются распространенной тактикой северокорейских кибератак.
• Вредоносное ПО, такое как BeaverTail и OtterCookie, используется для кражи учетных данных.
• Вредоносное ПО EtherHiding скрывает полезные нагрузки в публичных блокчейнах для скрытности.

Связанные с Северной Кореей хакеры усиливают свои глобальные кибератаки, используя новые децентрализованные и скрытные инструменты вредоносного ПО, согласно недавним отчетам Cisco Talos и Группы анализа угроз Google (GTIG). Эти кампании нацелены на отдельных лиц и компании через поддельные схемы найма на работу, с целью кражи криптовалюты, доступа к сетям и уклонения от обнаружения. Исследователи предупреждают, что использование систем управления на основе блокчейна делает эти операции труднее для срыва.

Расширение кибер-операций с использованием продвинутого вредоносного ПО

Cisco Talos идентифицировала северокорейскую группу угроз, известную как Famous Chollima, которая продолжает развивать свою тактику и инструменты. Было замечено, что группа использует два связанных семейства вредоносного ПО под названием BeaverTail и OtterCookie, оба разработаны для кражи учетных данных и сбора конфиденциальной информации. Эти обновленные варианты теперь имеют общие функции, которые улучшают коммуникацию и эффективность во время атак.

В одном случае, исследованном Cisco Talos, шри-ланкийская организация была косвенно затронута, когда соискатель был обманут и установил вредоносную программу как часть поддельного технического теста. Вредоносное ПО включало модули для записи нажатий клавиш и создания скриншотов. Собранная информация затем отправлялась на удаленные серверы, контролируемые атакующими. Исследователи заявили, что этот метод показывает, как отдельные лица могут быть скомпрометированы, даже когда организации не являются прямыми целями.

Блокчейн как децентрализованная система управления

Группа анализа угроз Google сообщила, что связанный с Северной Кореей актор, известный как UNC5342, развернул новое вредоносное ПО под названием EtherHiding. Это вредоносное ПО скрывает вредоносные JavaScript-нагрузки в публичных блокчейнах. Используя этот подход, атакующие создают децентрализованную систему управления и контроля (C2), которую трудно удалить властям.

Согласно GTIG, EtherHiding позволяет атакующим удаленно изменять поведение вредоносного ПО без использования традиционных серверов. Эта техника снижает шансы на срыв, поскольку данные блокчейна нелегко удалить. Исследователи Google связали эту операцию с более широкой кампанией под названием Contagious Interview, где поддельные предложения о работе использовались для заражения жертв. Результаты показывают, что северокорейские группы интегрируют децентрализованную технологию для поддержания постоянства в нескольких операциях.

Поддельные кампании по найму как основная точка входа

И Cisco, и Google наблюдали, что эти кибер-операции часто начинаются с мошеннических объявлений о работе, нацеленных на профессионалов в индустрии криптовалют и кибербезопасности. С жертвами связываются с предполагаемыми предложениями интервью и просят выполнить поддельные оценки, которые включают файлы со встроенным вредоносным ПО.

Заражения включают смесь семейств вредоносного ПО, таких как JadeSnow, BeaverTail и InvisibleFerret, которые вместе позволяют атакующим красть учетные данные, развертывать программы-вымогатели и получать более глубокий доступ к системам. Исследователи считают, что кампании стремятся как к финансовой выгоде, так и к долгосрочному доступу к корпоративным средам для шпионажа и будущей эксплуатации.

Защитные меры и текущие угрозы

Cisco Talos и Google выпустили индикаторы компрометации (IOC), чтобы помочь организациям обнаруживать связанную вредоносную активность. Эти индикаторы включают технические маркеры, которые команды безопасности могут использовать для мониторинга и блокировки подозрительного поведения, связанного с этими кампаниями.

Аналитики говорят, что сочетание социальной инженерии и инструментов на основе блокчейна создает новые проблемы для защиты кибербезопасности. Поскольку публичные блокчейны нелегко контролировать или отключать, они становятся предпочтительной инфраструктурой для злоумышленников, стремящихся поддерживать доступ и скрывать свои операции.

Исследователи из обеих компаний продолжают отслеживать эти кампании и делиться результатами с глобальным сообществом кибербезопасности. Они рекомендуют организациям тщательно проверять предложения о работе, ограничивать загрузку файлов во время процессов найма и обновлять системы мониторинга для обнаружения развивающихся семейств вредоносного ПО, таких как BeaverTail, OtterCookie и EtherHiding.

Статья "Северокорейские хакеры расширяют глобальные кибератаки с использованием инструментов блокчейна" впервые появилась на CoinCentral.