Mga Banta mula sa Hilagang Korea
Ang mga banta mula sa Hilagang Korea ay gumagamit ng isang blockchain-based na teknika na tinatawag na EtherHiding upang maghatid ng malware na dinisenyo upang magnakaw ng cryptocurrency, kabilang ang XRP. Ayon sa Threat Intelligence Group ng Google, ito ang kauna-unahang pagkakataon na naobserbahan ng GTIG ang isang nation-state actor na gumagamit ng pamamaraang ito.
Paano Gumagana ang EtherHiding
Ang EtherHiding ay nag-iembed ng mapanlikhang JavaScript payloads sa loob ng mga smart contract ng blockchain upang lumikha ng matibay na command-and-control servers. Ang teknikal na pamamaraang ito ay nagta-target sa mga developer sa cryptocurrency at teknolohiya sa pamamagitan ng mga kampanya ng social engineering na tinatawag na “Contagious Interview.”
Mga Epekto ng EtherHiding
Ang kampanya ay nagresulta sa maraming cryptocurrency heists na nakaapekto sa mga may-ari ng XRP at mga gumagamit ng iba pang digital assets. Sa EtherHiding, ang mapanlikhang code ay iniimbak sa mga decentralized at permissionless na blockchain, na nag-aalis ng mga sentral na server na maaaring isara ng mga ahensya ng batas o mga kumpanya ng cybersecurity.
Patuloy na Banta
Ang mga umaatake na kumokontrol sa mga smart contract ay may kakayahang i-update ang mga mapanlikhang payloads anumang oras, na nagbibigay-daan sa kanila na mapanatili ang patuloy na access sa mga compromised na sistema. Bagamat ang mga mananaliksik sa seguridad ay maaaring i-tag ang mga kontrata bilang mapanlikha sa mga blockchain scanners tulad ng BscScan, ang mapanlikhang aktibidad ay nagpapatuloy sa kabila ng mga babalang ito.
Paglalarawan ng EtherHiding
Inilarawan ng ulat ng Google ang EtherHiding bilang isang “paglipat patungo sa susunod na henerasyon ng bulletproof hosting,” kung saan ang mga tampok ng teknolohiya ng blockchain ay nagbibigay-daan sa mga mapanlikhang layunin.
Kapag nakikipag-ugnayan ang mga gumagamit sa mga compromised na site, ang code ay nag-aaktibo upang magnakaw ng XRP, iba pang cryptocurrencies, at sensitibong data. Ang mga compromised na website ay nakikipag-usap sa mga blockchain network gamit ang read-only functions, na iniiwasan ang paglikha ng mga ledger transactions, na nagpapababa sa pagtuklas at mga bayarin sa transaksyon.
Kampanya ng Contagious Interview
Ang kampanya ng Contagious Interview ay nakatuon sa mga taktika ng social engineering na ginagaya ang mga lehitimong proseso ng recruitment sa pamamagitan ng mga pekeng recruiter at mga pekeng kumpanya. Ang mga pekeng recruiter ay umaakit ng mga kandidato sa mga platform tulad ng Telegram o Discord, at pagkatapos ay naghahatid ng malware sa pamamagitan ng mapanlinlang na coding tests o pekeng pag-download ng software na nakatago bilang mga teknikal na pagsusuri.
Multi-Stage Malware Infection
Ang kampanya ay gumagamit ng multi-stage malware infection, kabilang ang mga variant ng JADESNOW, BEAVERTAIL, at INVISIBLEFERRET na nakaapekto sa mga Windows, macOS, at Linux na sistema.
Pagkakataon ng mga Biktima
Naniniwala ang mga biktima na sila ay lumalahok sa mga lehitimong job interview habang hindi nila alam na nagda-download sila ng malware na dinisenyo upang makakuha ng patuloy na access sa mga corporate networks at magnakaw ng mga cryptocurrency holdings.
