Северокорейские хакеры теперь используют метод на основе блокчейна, известный как EtherHiding, для распространения вредоносного ПО, облегчающего их операции по краже криптовалюты. По словам экспертов, был обнаружен северокорейский хакер, использующий этот метод, при котором злоумышленники внедряют код, например, JavaScript-полезные нагрузки, в смарт-tracна основе блокчейна.
Используя этот метод, хакеры превращают децентрализованный реестр в надежную систему управления и контроля (C2). Согласно опубликованному сообщению в блоге Google Threat Intelligence Group (GTIG), это первый случай, когда они наблюдали использование этого метода злоумышленником такого масштаба. В сообщении утверждается, что использование EtherHiding удобно в условиях традиционных методов блокировки и удаления. Группа по анализу угроз отметила, что tracзлоумышленника UNC5342 с февраля 2025 года, интегрировавшего EtherHiding в текущую кампанию социальной инженерии.
Северокорейские хакеры используют EtherHiding
Google упомянула , что связала использование EtherHiding с кампанией социальной инженерии, tracPalo Alto Networks под названием Contagious Interview. Contagious Interview проводилась северокорейскими агентами. По данным исследователей Socket, группа расширила свою деятельность с помощью нового загрузчика вредоносного ПО, XORIndex. Загрузчик скачали тысячи раз, его целью были соискатели работы и лица, предположительно владеющие цифровыми активами или конфиденциальнойdent.
В этой кампании северокорейские хакеры используют вредоносное ПО JADESNOW для распространения варианта INVISIBLEFERRET на JavaScript, который использовался для совершения множества краж криптовалюты. Кампания нацелена на разработчиков в крипто- и технологической индустриях, похищая конфиденциальные данные, цифровые активы и получая доступ к корпоративным сетям. Она также основана на тактике социальной инженерии, которая имитирует легитимные процессы найма, используя поддельных рекрутеров и вымышленные компании.
Фальшивые рекрутеры используются для заманивания кандидатов на такие платформы, как Telegram или Discord. После этого вредоносное ПО распространяется на их системы и устройства посредством поддельных тестов по программированию или загрузки программного обеспечения, замаскированных под технические оценки или исправления ошибок на собеседованиях. Кампания использует многоэтапный процесс заражения вредоносным ПО, который обычно включает в себя такие вредоносные программы, как JADESNOW, INVISIBLEFERRET и BEAVERTAIL, для компрометации устройств жертвы. Вредоносное ПО поражает системы Windows, Linux и macOS.
Исследователи подробно описали недостатки EtherHiding
EtherHiding предоставляет злоумышленникам значительное преимущество, и, как отмечает GTIG, представляет собой особенно сложную угрозу для нейтрализации. Один из ключевых элементов EtherHiding, вызывающий опасения, — это его децентрализованная природа. Это означает, что он хранится в децентрализованном блокчейне без разрешений, что затрудняет его удаление правоохранительными органами или компаниями, занимающимися кибербезопасностью, поскольку у него нет центрального сервера. Отследить личностьdenttractrac tractractractrac tractracиз-за псевдонимного характера в блокчейне .
Также сложно удалить вредоносный код из смарт-trac, развернутых в блокчейне, если вы не являетесь владельцемtrac. Злоумышленник, контролирующий смарт-trac, в данном случае северокорейские хакеры, может в любой момент обновить вредоносную полезную нагрузку. Хотя исследователи безопасности могут пытаться предупредить сообщество о вредоносномtrac, помечая его, это не останавливает хакеров от осуществления своих злонамеренных действий с использованием смарт-trac.
Кроме того, злоумышленники могут получить доступ к своей вредоносной программе, используя вызовы только для чтения, которые не оставляют видимой истории транзакций в блокчейне, что затрудняет tracих действий в блокчейне исследователями. Согласно отчету об исследовании угроз, EtherHiding представляет собой «сдвиг в сторону защищенного хостинга следующего поколения», где наиболее очевидные особенности технологии блокчейн используются мошенниками в злонамеренных целях.
