Google Raporları: Kuzey Koreli Hackerlar Akıllı Sözleşmelere 'EtherHiding' Kötü Amaçlı Yazılımı Yerleştiriyor

Yönetici Özeti

Google Tehdit İstihbarat Grubu (GTIG), Kuzey Kore destekli tehdit aktörlerinin, özellikle UNC5342'nin, kripto para çalan kötü amaçlı yazılımları doğrudan halka açık blok zinciri ağlarındaki akıllı sözleşmelere yerleştirmek için 'EtherHiding' adlı yeni bir teknik kullandığını bildiriyor. Bu gelişme, Web3 alanındaki ulus devlet siber yeteneklerinde bir artışı işaret ediyor, artan güvenlik endişelerine yol açıyor ve dijital varlıklar için gelecekteki düzenleyici çerçeveleri potansiyel olarak etkileyebilir.

Olay Detayı

EtherHiding, kötü amaçlı kodu barındırmak için BNB Akıllı Zinciri ve Ethereum gibi halka açık blok zincirlerini kullanan iki aşamalı bir kötü amaçlı yazılım dağıtım yöntemi olarak çalışır. Süreç, saldırganların kurbanları başlangıçtaki kötü amaçlı yazılım dosyalarını indirmeye kandırmak için sahte iş teklifleri ve teknik değerlendirmeler gibi aldatıcı taktikler kullandığı sosyal mühendislikle başlar. Yürütüldüğünde, küçük bir JavaScript yükleyici betiği, 'salt okunur' bir fonksiyon çağrısı (örn. eth_call) kullanarak blok zincirindeki bir akıllı sözleşmeyle iletişim kurar. Bu kritik adım, blok zincirinde bir işlem oluşturmadan JADESNOW indiricisi gibi birincil kötü amaçlı yükün alınmasını sağlayarak gas ücretlerinden kaçınır ve gizliliği artırır.

JADESNOW indiricisi daha sonra INVISIBLEFERRET.JAVASCRIPT arka kapısı da dahil olmak üzere sonraki, daha kalıcı yükleri almak için blok zinciriyle etkileşime girer. Bu çok aşamalı enfeksiyon zinciri, saldırganlara ele geçirilmiş sistemlere uzun süreli erişim sağlayarak Windows, macOS ve Linux platformlarında veri hırsızlığı, casusluk ve kripto para cüzdanı ele geçirmeyi mümkün kılar. GTIG, bunu, finansal olarak motive olmuş CLEARFAKE kampanyası (UNC5142) kapsamında Eylül 2023'te ortaya çıkan EtherHiding'i kullanan bir ulus devlet aktörünün ilk belgelenmiş örneği olarak vurguluyor.

Tehdit Aktörü Stratejisi ve İstismar Konumlandırması

Kuzey Koreli tehdit aktörü UNC5342, hem casusluk hem de finansal olarak motive olmuş operasyonlar için EtherHiding'i kullanıyor. Bu teknik, saldırganlara çeşitli stratejik avantajlar sunar. Değişmezliği, kötü amaçlı kod bir akıllı sözleşmeye bir kez yerleştirildiğinde kolayca kaldırılamamasını veya değiştirilememesini sağlayarak dayanıklı bir komuta ve kontrol (C2) sunucusu sağlar. Salt okunur çağrıların kullanılması önemli bir gizlilik sağlayarak etkinliklerin blok zincirinde izlenmesini zorlaştırır. Ayrıca, EtherHiding'in esnekliği, saldırganların akıllı sözleşmeyi basitçe değiştirerek yükleri güncellemesine ve saldırı yöntemlerini değiştirmesine, taktiklerini gerçek zamanlı olarak uyarlamasına olanak tanır.

EtherHiding etkinliği için birden fazla blok zincirinin benimsenmesi, Kuzey Koreli siber operatörler arasında operasyonel bölümlendirmeyi düşündürüyor. Kötü amaçlı yükler zincir üzerinde depolanırken, tehdit aktörleri bu blok zincirleriyle doğrudan etkileşime girmiyor; bunun yerine, ağlarla arayüz oluşturmak için geleneksel Web2 hizmetlerine benzer merkezi hizmetleri kullanıyorlar. Bu hibrit yaklaşım, blok zinciri depolamasının merkezi olmayan faydalarına izin verirken, erişim için yerleşik web altyapısını kullanır.

Piyasa Etkileri

Kuzey Kore'nin Lazarus Grubu gibi devlet destekli bir kuruluş tarafından EtherHiding'in ortaya çıkışı, daha geniş Web3 ekosistemi ve kripto para piyasaları için önemli sonuçlar doğuruyor. Artan güvenlik endişeleri, akıllı sözleşme güvenliğine olan kullanıcı güveninin azalmasına ve dolayısıyla kısa vadeli piyasa endişesine yol açabilir. Tekniğin geleneksel kaldırma çabalarına karşı dayanıklılığı, daha sağlam akıllı sözleşme denetimi ve kripto topluluğu genelinde gelişmiş güvenlik eğitimi gerektiriyor. Bu gelişme, kripto güvenlik önlemleri üzerindeki düzenleyici incelemeyi de yoğunlaştırabilir ve ulus devletlerin merkezi olmayan teknolojileri istismar etmesini azaltmak için daha katı uyumluluk standartlarını zorlayabilir.

Web3 alanında faaliyet gösteren veya bu alanla etkileşime giren kuruluşlara, sıfır güven güvenlik modelini benimsemeleri ve bu tür karmaşık kampanyaları bozmak için İndirme Kısıtlamaları, Yönetilen Güncellemeler ve Güvenli Tarama gibi sağlam Chrome Kurumsal politikalarını uygulamaları tavsiye edilir. Bu tehditlerin devam eden evrimi, dijital varlık ortamında sürekli uyanıklık ve uyarlanabilir siber güvenlik stratejilerine duyulan kritik ihtiyacın altını çiziyor.

Daha Geniş Bağlam

Teknoloji ve dijital para sektörlerindeki geliştiricileri hedef alan ayrıntılı bir işe alım dolandırıcılığı kampanyası olan Bulaşıcı Röportaj kampanyası, UNC5342 için önemli bir vektördür. Saldırganlar, profesyonel ağ sitelerinde sahte profiller oluşturarak işe alım uzmanlarını taklit eder ve ardından sohbetleri Telegram veya Discord gibi platformlara taşır. Mağdurlardan daha sonra GitHub veya npm gibi platformlardan kod değerlendirmeleri gibi görünen kötü amaçlı dosyaları indirmeleri istenir. EtherHiding'in teknik sofistikeliği ile birleşen bu kapsamlı sosyal mühendislik yaklaşımı, blok zinciri teknolojisinin merkezi olmayan doğasını istismar etmek için yeni yöntemlerden yararlanan gelişmiş kalıcı tehditlerin artan bir eğilimini göstermektedir. Bu tür taktiklerin evrimi, tehdit aktörlerinin tespitten kaçınmak ve casusluk ve finansal kazanç için yüksek değerli hedeflere uzun süreli erişimi sürdürmek için sürekli olarak uyum sağlaması nedeniyle siber güvenlik savunmaları için kalıcı bir zorluğu vurgulamaktadır.