Новая киберугроза появляется из Северной Кореи, поскольку поддерживаемые государством хакеры экспериментируют с внедрением злонамеренного вмешательства непосредственно в блокчейн сети. Группа анализа угроз Google (GTIG) сообщила 17 октября, что техника, называемая EtherHiding, знаменует новую эволюцию в том, как хакеры скрывают, распространяют и контролируют вредоносное ПО в децентрализованных экосистемах. Что такое EtherHiding? GTIG объяснила, что EtherHiding позволяет злоумышленникам использовать смарт контракты и публичные цепи, такие как блокчейн Ethereum и BNB Smart Chain, для хранения вредоносных полезных нагрузок. Как только фрагмент кода загружается в эти технологии распределенного реестра, удалить или заблокировать его становится практически невозможно из-за их неизменяемости. "Хотя смарт контракты предлагают инновационные способы создания децентрализованных приложений, их неизменная природа используется в EtherHiding для размещения и обслуживания вредоносного кода таким образом, который нельзя легко заблокировать", - написала GTIG. На практике хакеры компрометируют легитимные сайты WordPress, часто используя незакрытые уязвимости или украденные учетные данные. После получения доступа они вставляют несколько строк JavaScript — известных как "загрузчик" — в код сайта. Когда посетитель открывает зараженную страницу, загрузчик тихо подключается к блокчейну и извлекает вредоносное ПО с удаленного сервера. EtherHiding на BNB Chain и Ethereum. Источник данных: Google Threat Intelligence Group GTIG отметила, что эта атака часто не оставляет видимого следа транзакций и требует мало или вообще не требует комиссий, поскольку происходит вне цепи. Это, по сути, позволяет злоумышленникам действовать незамеченными. Примечательно, что GTIG отследила первый случай использования EtherHiding в сентябре 2023 года, когда он появился в кампании, известной как CLEARFAKE, которая обманывала пользователей поддельными запросами на обновление браузера. Как предотвратить атаку Исследователи кибербезопасности говорят, что эта тактика сигнализирует о смещении цифровой стратегии Северной Кореи от простого воровства криптовалюты к использованию самого блокчейна в качестве скрытого оружия. "EtherHiding представляет собой переход к хостингу нового поколения, защищенному от блокировки, где неотъемлемые функции технологии блокчейн перепрофилируются для злонамеренных целей. Эта техника подчеркивает непрерывную эволюцию киберугроз, поскольку злоумышленники адаптируются и используют новые технологии в своих интересах", - заявила GTIG. Джон Скотт-Рейлтон, старший исследователь Citizen Lab, описал EtherHiding как "эксперимент на ранней стадии". Он предупредил, что сочетание его с управляемой ИИ автоматизацией может сделать будущие атаки гораздо труднее обнаруживаемыми. "Я ожидаю, что злоумышленники также будут экспериментировать с прямой загрузкой эксплойтов с нулевым кликом на блокчейны, нацеленные на системы и приложения, которые обрабатывают блокчейны... особенно если они иногда размещены на тех же системах и сетях, которые обрабатывают транзакции / имеют кошельки", - добавил он. Этот новый вектор атаки может иметь серьезные последствия для криптоиндустрии, учитывая, что северокорейские злоумышленники значительно плодовиты. Данные TRM Labs показывают, что связанные с Северной Кореей группы уже украли более 1,5 миллиарда $ в криптоактивах только в этом году. Следователи полагают, что эти средства помогают финансировать военные программы Пхеньяна и усилия по обходу международных санкций. Учитывая это, GTIG рекомендовала пользователям криптовалют снизить свой риск, блокируя подозрительные загрузки и ограничивая несанкционированные веб-скрипты. Группа также призвала исследователей безопасности идентифицировать и маркировать злонамеренное вмешательство, встроенное в блокчейн сети.Новая киберугроза появляется из Северной Кореи, поскольку поддерживаемые государством хакеры экспериментируют с внедрением злонамеренного вмешательства непосредственно в блокчейн сети. Группа анализа угроз Google (GTIG) сообщила 17 октября, что техника, называемая EtherHiding, знаменует новую эволюцию в том, как хакеры скрывают, распространяют и контролируют вредоносное ПО в децентрализованных экосистемах. Что такое EtherHiding? GTIG объяснила, что EtherHiding позволяет злоумышленникам использовать смарт контракты и публичные цепи, такие как блокчейн Ethereum и BNB Smart Chain, для хранения вредоносных полезных нагрузок. Как только фрагмент кода загружается в эти технологии распределенного реестра, удалить или заблокировать его становится практически невозможно из-за их неизменяемости. "Хотя смарт контракты предлагают инновационные способы создания децентрализованных приложений, их неизменная природа используется в EtherHiding для размещения и обслуживания вредоносного кода таким образом, который нельзя легко заблокировать", - написала GTIG. На практике хакеры компрометируют легитимные сайты WordPress, часто используя незакрытые уязвимости или украденные учетные данные. После получения доступа они вставляют несколько строк JavaScript — известных как "загрузчик" — в код сайта. Когда посетитель открывает зараженную страницу, загрузчик тихо подключается к блокчейну и извлекает вредоносное ПО с удаленного сервера. EtherHiding на BNB Chain и Ethereum. Источник данных: Google Threat Intelligence Group GTIG отметила, что эта атака часто не оставляет видимого следа транзакций и требует мало или вообще не требует комиссий, поскольку происходит вне цепи. Это, по сути, позволяет злоумышленникам действовать незамеченными. Примечательно, что GTIG отследила первый случай использования EtherHiding в сентябре 2023 года, когда он появился в кампании, известной как CLEARFAKE, которая обманывала пользователей поддельными запросами на обновление браузера. Как предотвратить атаку Исследователи кибербезопасности говорят, что эта тактика сигнализирует о смещении цифровой стратегии Северной Кореи от простого воровства криптовалюты к использованию самого блокчейна в качестве скрытого оружия. "EtherHiding представляет собой переход к хостингу нового поколения, защищенному от блокировки, где неотъемлемые функции технологии блокчейн перепрофилируются для злонамеренных целей. Эта техника подчеркивает непрерывную эволюцию киберугроз, поскольку злоумышленники адаптируются и используют новые технологии в своих интересах", - заявила GTIG. Джон Скотт-Рейлтон, старший исследователь Citizen Lab, описал EtherHiding как "эксперимент на ранней стадии". Он предупредил, что сочетание его с управляемой ИИ автоматизацией может сделать будущие атаки гораздо труднее обнаруживаемыми. "Я ожидаю, что злоумышленники также будут экспериментировать с прямой загрузкой эксплойтов с нулевым кликом на блокчейны, нацеленные на системы и приложения, которые обрабатывают блокчейны... особенно если они иногда размещены на тех же системах и сетях, которые обрабатывают транзакции / имеют кошельки", - добавил он. Этот новый вектор атаки может иметь серьезные последствия для криптоиндустрии, учитывая, что северокорейские злоумышленники значительно плодовиты. Данные TRM Labs показывают, что связанные с Северной Кореей группы уже украли более 1,5 миллиарда $ в криптоактивах только в этом году. Следователи полагают, что эти средства помогают финансировать военные программы Пхеньяна и усилия по обходу международных санкций. Учитывая это, GTIG рекомендовала пользователям криптовалют снизить свой риск, блокируя подозрительные загрузки и ограничивая несанкционированные веб-скрипты. Группа также призвала исследователей безопасности идентифицировать и маркировать злонамеренное вмешательство, встроенное в блокчейн сети.