Северокорейские хакеры теперь используют метод на основе блокчейна, известный как EtherHiding, для доставки вредоносного ПО, облегчающего их операции по краже криптовалют. По словам экспертов, был обнаружен северокорейский хакер, использующий этот метод, при котором злоумышленники встраивают коды, такие как JavaScript-нагрузки, внутрь смарт-контракта на основе блокчейна.
Используя этот метод, хакеры превращают децентрализованный реестр в устойчивую систему управления и контроля (C2). Согласно опубликованному блог-посту Google Threat Intelligence Group (GTIG), это первый случай, когда они наблюдали использование этого метода актором такого масштаба. Утверждается, что использование EtherHiding удобно перед лицом обычных усилий по блокировке и занесению в черные списки. Группа разведки угроз упомянула, что отслеживает угрозу актора UNC5342 с февраля 2025 года, интегрируя EtherHiding в текущую кампанию социальной инженерии.
Северокорейские хакеры обращаются к EtherHiding
Google упомянул, что связал использование EtherHiding с кампанией социальной инженерии, отслеживаемой Palo Alto Networks как Contagious Interview. Contagious Interview проводилась северокорейскими актерами. По данным исследователей Socket, группа расширила свою операцию с новым загрузчиком вредоносного ПО, XORIndex. Загрузчик накопил тысячи загрузок, целями которых являются соискатели работы и лица, предположительно владеющие цифровыми активами или конфиденциальными учетными данными.
В этой кампании северокорейские хакеры используют вредоносное ПО JADESNOW для распространения JavaScript-варианта INVISIBLEFERRET, который использовался для осуществления множества краж криптовалют. Кампания нацелена на разработчиков в криптовалютной и технологической отраслях, похищая конфиденциальные данные, цифровые активы и получая доступ к корпоративным сетям. Она также сосредоточена вокруг тактики социальной инженерии, копирующей законные процессы найма с использованием фальшивых рекрутеров и вымышленных компаний.
Фальшивые рекрутеры используются для привлечения кандидатов на платформы, такие как Telegram или Discord. После этого вредоносное ПО доставляется в их системы и устройства через поддельные тесты кодирования или загрузки программного обеспечения, замаскированные под технические оценки или исправления для интервью. Кампания использует многоступенчатый процесс заражения вредоносным ПО, который обычно включает такие вредоносные программы, как JADESNOW, INVISIBLEFERRET и BEAVERTAIL, для компрометации устройств жертвы. Вредоносное ПО влияет на системы Windows, Linux и macOS.
Исследователи детализируют недостатки EtherHiding
EtherHiding предоставляет лучшее преимущество атакующим, при этом GTIG отмечает, что он действует как особенно сложная угроза для смягчения. Один из основных элементов EtherHiding, вызывающий беспокойство, заключается в том, что он децентрализован по своей природе. Это означает, что он хранится в безразрешительном и децентрализованном блокчейне, что затрудняет правоохранительным органам или фирмам по кибербезопасности его устранение, поскольку у него нет центрального сервера. Личность атакующего также трудно отследить из-за псевдонимного характера транзакций в блокчейне.
Также трудно удалить вредоносный код в смарт-контрактах, развернутых в блокчейне, если вы не являетесь владельцем контракта. Атакующий, контролирующий смарт-контракт, в данном случае северокорейские хакеры, также может выбрать обновление вредоносной нагрузки в любое время. Хотя исследователи безопасности могут попытаться предупредить сообщество о вредоносном контракте, пометив его, это не останавливает хакеров от осуществления их вредоносной деятельности с использованием смарт-контракта.
Кроме того, атакующие могут извлекать свою вредоносную нагрузку, используя вызовы только для чтения, которые не оставляют видимой истории транзакций в блокчейне, что затрудняет исследователям отслеживание их деятельности в блокчейне. Согласно отчету об исследовании угроз, EtherHiding представляет собой "сдвиг в сторону хостинга следующего поколения с защитой от пуль", где наиболее явные особенности технологии блокчейн используются мошенниками для злонамеренных целей.
Присоединяйтесь к премиум-сообществу криптотрейдеров бесплатно на 30 дней – обычно 100 $/мес.
Источник: https://www.cryptopolitan.com/north-korean-hackers-crypto-stealing-malware/
