北朝鲜的威胁行为者与EtherHiding技术
北朝鲜的威胁行为者采用了一种名为EtherHiding的区块链技术,旨在传播恶意软件以窃取包括XRP在内的加密货币。根据谷歌威胁情报组(GTIG)的报告,这是首次观察到国家级行为者使用这种方法。
恶意代码的嵌入与攻击方式
该方法将恶意JavaScript代码嵌入区块链智能合约中,以创建具有韧性的指挥与控制服务器。EtherHiding技术通过名为“Contagious Interview”的社交工程活动,针对加密货币和技术领域的开发者。这一活动导致了多起影响XRP持有者及其他数字资产用户的加密货币盗窃事件。
去中心化的恶意存储
EtherHiding将恶意代码存储在去中心化和无权限的区块链上,消除了执法机构或网络安全公司可以关闭的中央服务器。攻击者控制的智能合约可以随时更新恶意负载,并保持对被攻陷系统的持续访问。
安全研究的挑战
安全研究人员可以在像BscScan这样的区块链扫描器上标记合约为恶意,但恶意活动仍然会继续,尽管有这些警告。谷歌的报告将EtherHiding描述为“向下一代防弹托管的转变”,其中区块链技术的特性被用于恶意目的。
用户交互与恶意软件激活
当用户与被攻陷的网站互动时,代码会被激活以窃取XRP、其他加密货币及敏感数据。被攻陷的网站通过只读功能与区块链网络进行通信,避免创建账本交易,从而降低了被检测的可能性和交易费用。
社交工程策略与多阶段感染
Contagious Interview活动围绕社交工程策略展开,模仿合法的招聘流程,通过虚假的招聘人员和伪造的公司进行诱骗。假招聘人员将候选人引导至Telegram或Discord等平台,然后通过欺骗性的编码测试或伪装成技术评估的假软件下载传播恶意软件。
该活动采用多阶段的恶意软件感染,包括影响Windows、macOS和Linux系统的JADESNOW、BEAVERTAIL和INVISIBLEFERRET变种。
受害者误以为自己正在参与合法的工作面试,却在不知情的情况下下载了旨在获得对企业网络的持续访问权限并窃取加密货币资产的恶意软件。
