북한의 암호화폐 위협
북한의 위협 행위자들이 XRP를 포함한 암호화폐를 훔치기 위해 설계된 악성 소프트웨어를 배포하기 위해 EtherHiding이라는 블록체인 기반 기술을 채택했습니다. 구글의 위협 정보 그룹(GTIG)에 따르면, 이는 국가 차원의 행위자가 이 방법을 사용하는 것을 처음으로 관찰한 사례입니다.
EtherHiding 기술의 작동 방식
이 방법은 블록체인 스마트 계약 내에 악성 JavaScript 페이로드를 삽입하여 강력한 명령 및 제어 서버를 생성합니다. EtherHiding 기술은 “Contagious Interview“라는 이름으로 추적되는 사회 공학 캠페인을 통해 암호화폐 및 기술 분야의 개발자를 표적으로 삼습니다. 이 캠페인은 XRP 보유자와 기타 디지털 자산 사용자에게 영향을 미치는 수많은 암호화폐 강도 사건으로 이어졌습니다.
EtherHiding은 악성 코드를 분산형 및 허가 없는 블록체인에 저장하여, 법 집행 기관이나 사이버 보안 회사가 제거할 수 있는 중앙 서버를 제거합니다. 스마트 계약을 제어하는 공격자는 언제든지 악성 페이로드를 업데이트하고 손상된 시스템에 대한 지속적인 접근을 유지할 수 있습니다.
보안 연구자들의 대응
보안 연구자들은 BscScan과 같은 블록체인 스캐너에서 계약을 악성으로 태그할 수 있지만, 이러한 경고에도 불구하고 악성 활동은 계속되고 있습니다. 구글의 보고서는 EtherHiding을 “차세대 방탄 호스팅으로의 전환“으로 설명하며, 블록체인 기술의 기능이 악의적인 목적을 가능하게 한다고 언급합니다.
사용자가 손상된 사이트와 상호작용할 때, 코드는 XRP, 기타 암호화폐 및 민감한 데이터를 훔치기 위해 활성화됩니다. 손상된 웹사이트는 원장 거래를 생성하지 않도록 하는 읽기 전용 기능을 사용하여 블록체인 네트워크와 통신합니다. 이는 탐지를 최소화하고 거래 수수료를 줄입니다.
Contagious Interview 캠페인
Contagious Interview 캠페인은 가짜 채용 담당자와 허위 회사들을 통해 합법적인 채용 과정을 모방하는 사회 공학 전술에 중점을 둡니다. 가짜 채용 담당자들은 후보자들을 Telegram이나 Discord와 같은 플랫폼으로 유인한 다음, 기술 평가로 위장한 기만적인 코딩 테스트나 가짜 소프트웨어 다운로드를 통해 악성 소프트웨어를 배포합니다.
이 캠페인은 Windows, macOS 및 Linux 시스템에 영향을 미치는 JADESNOW, BEAVERTAIL 및 INVISIBLEFERRET 변종을 포함한 다단계 악성 소프트웨어 감염을 사용합니다. 피해자들은 합법적인 면접에 참여하고 있다고 믿으면서도 기업 네트워크에 대한 지속적인 접근을 얻고 암호화폐 보유를 훔치기 위해 설계된 악성 소프트웨어를 무의식적으로 다운로드하고 있습니다.
