การใช้เทคนิค EtherHiding โดยกลุ่มผู้คุกคามจากเกาหลีเหนือ
กลุ่มผู้คุกคามจาก เกาหลีเหนือ ได้ใช้เทคนิคที่อิงจากบล็อกเชนที่เรียกว่า EtherHiding เพื่อส่งมอบมัลแวร์ที่ออกแบบมาเพื่อขโมยสกุลเงินดิจิทัล รวมถึง XRP ตามข้อมูลจากกลุ่มข่าวสารภัยคุกคามของ Google (GTIG) นี่เป็นครั้งแรกที่ GTIG สังเกตเห็นว่าผู้กระทำการจากรัฐชาติใช้วิธีการนี้
วิธีการทำงานของ EtherHiding
วิธีการนี้ฝังโหลด JavaScript ที่เป็นอันตรายไว้ในสัญญาอัจฉริยะของบล็อกเชนเพื่อสร้างเซิร์ฟเวอร์ควบคุมที่มีความทนทาน เทคนิค EtherHiding มุ่งเป้าไปที่นักพัฒนาที่ทำงานในภาคสกุลเงินดิจิทัลและเทคโนโลยี ผ่านแคมเปญการสร้างความตระหนักรู้ทางสังคมที่ติดตามในชื่อ “Contagious Interview” แคมเปญนี้นำไปสู่การโจรกรรมสกุลเงินดิจิทัลจำนวนมากที่ส่งผลกระทบต่อผู้ถือ XRP และผู้ใช้สินทรัพย์ดิจิทัลอื่น ๆ
ความทนทานของเซิร์ฟเวอร์และการเข้าถึงที่ต่อเนื่อง
EtherHiding เก็บรหัสที่เป็นอันตรายไว้ในบล็อกเชนที่กระจายอำนาจและไม่มีการอนุญาต และลบเซิร์ฟเวอร์กลางที่หน่วยงานบังคับใช้กฎหมายหรือบริษัทความปลอดภัยไซเบอร์สามารถทำลายได้ ผู้โจมตีที่ควบคุมสัญญาอัจฉริยะสามารถอัปเดตโหลดที่เป็นอันตรายได้ตลอดเวลาและรักษาการเข้าถึงที่ต่อเนื่องไปยังระบบที่ถูกบุกรุก
การตรวจจับและการป้องกัน
นักวิจัยด้านความปลอดภัยสามารถติดป้ายสัญญาว่าเป็นอันตรายบนเครื่องสแกนบล็อกเชน เช่น BscScan แต่กิจกรรมที่เป็นอันตรายยังคงดำเนินต่อไปไม่ว่าจะมีการเตือนเหล่านี้หรือไม่ รายงานของ Google อธิบายว่า EtherHiding เป็น “การเปลี่ยนแปลงไปสู่การโฮสต์ที่กันกระสุนในยุคถัดไป” ซึ่งเทคโนโลยีบล็อกเชนมีคุณสมบัติที่ช่วยให้เกิดวัตถุประสงค์ที่เป็นอันตราย
การโจมตีผ่านเว็บไซต์ที่ถูกบุกรุก
เมื่อผู้ใช้มีปฏิสัมพันธ์กับเว็บไซต์ที่ถูกบุกรุก รหัสจะทำงานเพื่อขโมย XRP สกุลเงินดิจิทัลอื่น ๆ และข้อมูลที่ละเอียดอ่อน เว็บไซต์ที่ถูกบุกรุกจะสื่อสารกับเครือข่ายบล็อกเชนโดยใช้ฟังก์ชันอ่านอย่างเดียวที่หลีกเลี่ยงการสร้างธุรกรรมในบัญชีแยกประเภท ซึ่งช่วยลดการตรวจจับและค่าธรรมเนียมการทำธุรกรรม
กลยุทธ์การสร้างความตระหนักรู้ทางสังคม
แคมเปญ Contagious Interview มุ่งเน้นไปที่กลยุทธ์การสร้างความตระหนักรู้ทางสังคมที่เลียนแบบกระบวนการสรรหาที่ถูกต้องตามกฎหมาย ผ่านผู้สรรหาปลอมและบริษัทที่สร้างขึ้นมา ผู้สรรหาปลอมล่อให้ผู้สมัครเข้ามาในแพลตฟอร์ม เช่น Telegram หรือ Discord จากนั้นส่งมัลแวร์ผ่านการทดสอบการเขียนโค้ดที่หลอกลวงหรือการดาวน์โหลดซอฟต์แวร์ปลอมที่ปลอมตัวเป็นการประเมินทางเทคนิค
การติดเชื้อมัลแวร์หลายขั้นตอน
แคมเปญนี้ใช้การติดเชื้อมัลแวร์หลายขั้นตอน รวมถึงตัวแปร JADESNOW, BEAVERTAIL และ INVISIBLEFERRET ที่ส่งผลกระทบต่อระบบ Windows, macOS และ Linux ผู้เสียหายเชื่อว่าพวกเขากำลังเข้าร่วมการสัมภาษณ์งานที่ถูกต้องตามกฎหมาย ในขณะที่ไม่รู้ตัวว่ากำลังดาวน์โหลดมัลแวร์ที่ออกแบบมาเพื่อให้เข้าถึงเครือข่ายของบริษัทอย่างต่อเนื่องและขโมยการถือครองสกุลเงินดิจิทัล
