Các Tác Nhân Đe Dọa Từ Bắc Triều Tiên
Các tác nhân đe dọa từ Bắc Triều Tiên đã áp dụng một kỹ thuật dựa trên blockchain gọi là EtherHiding để phát tán phần mềm độc hại nhằm đánh cắp tiền điện tử, bao gồm cả XRP. Theo Nhóm Tình báo Đe dọa của Google (GTIG), đây là lần đầu tiên họ quan sát thấy một tác nhân quốc gia sử dụng phương pháp này. Kỹ thuật này nhúng mã JavaScript độc hại vào bên trong các hợp đồng thông minh trên blockchain, tạo ra các máy chủ chỉ huy và kiểm soát bền vững.
Kỹ Thuật EtherHiding
Kỹ thuật EtherHiding nhắm đến các nhà phát triển trong lĩnh vực tiền điện tử và công nghệ thông qua các chiến dịch kỹ thuật xã hội được gọi là “Contagious Interview”. Chiến dịch này đã dẫn đến nhiều vụ trộm tiền điện tử, ảnh hưởng đến những người nắm giữ XRP và người dùng các tài sản kỹ thuật số khác. EtherHiding lưu trữ mã độc hại trên các blockchain phi tập trung mà không cần sự cho phép, đồng thời loại bỏ các máy chủ trung tâm mà các cơ quan thực thi pháp luật hoặc các công ty an ninh mạng có thể tấn công. Những kẻ tấn công kiểm soát các hợp đồng thông minh có thể cập nhật mã độc hại bất cứ lúc nào và duy trì quyền truy cập liên tục vào các hệ thống bị xâm phạm.
Hoạt Động Độc Hại và Cảnh Báo
Các nhà nghiên cứu bảo mật có thể gán nhãn các hợp đồng là độc hại trên các công cụ quét blockchain như BscScan, nhưng hoạt động độc hại vẫn tiếp diễn bất chấp những cảnh báo này. Báo cáo của Google mô tả EtherHiding như một “sự chuyển mình hướng tới việc lưu trữ không thể bị đánh bại thế hệ tiếp theo”, nơi công nghệ blockchain được sử dụng cho các mục đích độc hại. Khi người dùng tương tác với các trang web bị xâm phạm, mã sẽ kích hoạt để đánh cắp XRP, các loại tiền điện tử khác và dữ liệu nhạy cảm.
Chiến Dịch Contagious Interview
Các trang web bị xâm phạm giao tiếp với các mạng blockchain bằng cách sử dụng các chức năng chỉ đọc, tránh việc tạo ra các giao dịch trên sổ cái. Điều này giảm thiểu khả năng phát hiện và phí giao dịch. Chiến dịch Contagious Interview tập trung vào các chiến thuật kỹ thuật xã hội, bắt chước quy trình tuyển dụng hợp pháp thông qua các nhà tuyển dụng giả mạo và các công ty giả. Các nhà tuyển dụng giả mạo lừa các ứng viên vào các nền tảng như Telegram hoặc Discord, sau đó phát tán phần mềm độc hại thông qua các bài kiểm tra mã hóa lừa đảo hoặc tải xuống phần mềm giả mạo dưới dạng các bài đánh giá kỹ thuật.
Nhiễm Độc Phần Mềm Đa Giai Đoạn
Chiến dịch này sử dụng nhiễm độc phần mềm đa giai đoạn, bao gồm các biến thể JADESNOW, BEAVERTAIL và INVISIBLEFERRET, ảnh hưởng đến các hệ thống Windows, macOS và Linux. Các nạn nhân tin rằng họ đang tham gia vào các cuộc phỏng vấn việc làm hợp pháp trong khi không biết rằng họ đang tải xuống phần mềm độc hại được thiết kế để có quyền truy cập liên tục vào các mạng lưới doanh nghiệp và đánh cắp tài sản tiền điện tử.
