Tóm tắt điều hành
Nhóm Tình báo Đe dọa của Google (GTIG) báo cáo rằng các tác nhân đe dọa do nhà nước Triều Tiên tài trợ, đặc biệt là UNC5342, đang tận dụng một kỹ thuật mới được gọi là 'EtherHiding' để nhúng phần mềm độc hại đánh cắp tiền điện tử trực tiếp vào các hợp đồng thông minh trên các mạng blockchain công khai. Sự phát triển này báo hiệu sự leo thang trong khả năng mạng của quốc gia trong không gian Web3, làm dấy lên những lo ngại về bảo mật và có khả năng ảnh hưởng đến các khung pháp lý trong tương lai đối với tài sản kỹ thuật số.
Chi tiết sự kiện
EtherHiding hoạt động như một phương pháp triển khai phần mềm độc hại hai giai đoạn, sử dụng các blockchain công khai như BNB Smart Chain và Ethereum để lưu trữ mã độc. Quá trình này bắt đầu bằng kỹ thuật xã hội, nơi những kẻ tấn công sử dụng các chiến thuật lừa đảo, chẳng hạn như lời mời làm việc giả mạo và đánh giá kỹ thuật, để lừa nạn nhân tải xuống các tệp phần mềm độc hại ban đầu. Khi thực thi, một tập lệnh tải JavaScript nhỏ giao tiếp với một hợp đồng thông minh trên blockchain bằng cách sử dụng lệnh gọi hàm 'chỉ đọc' (ví dụ: eth_call
). Bước quan trọng này cho phép truy xuất tải trọng độc hại chính, chẳng hạn như trình tải xuống JADESNOW, mà không tạo ra giao dịch trên blockchain, do đó tránh phí gas và tăng cường khả năng tàng hình.
Trình tải xuống JADESNOW sau đó tương tác với blockchain để lấy các tải trọng tiếp theo, bền bỉ hơn, bao gồm backdoor INVISIBLEFERRET.JAVASCRIPT. Chuỗi lây nhiễm nhiều giai đoạn này cung cấp cho những kẻ tấn công quyền truy cập dài hạn vào các hệ thống bị xâm nhập, cho phép đánh cắp dữ liệu, gián điệp và xâm phạm ví tiền điện tử trên các nền tảng Windows, macOS và Linux. GTIG nhấn mạnh đây là trường hợp đầu tiên được ghi nhận về một tác nhân quốc gia sử dụng EtherHiding, xuất hiện vào tháng 9 năm 2023 trong chiến dịch CLEARFAKE (UNC5142) có động cơ tài chính.
Chiến lược tác nhân đe dọa & định vị khai thác
Tác nhân đe dọa Triều Tiên UNC5342 đang tận dụng EtherHiding cho cả hoạt động gián điệp và có động cơ tài chính. Kỹ thuật này mang lại một số lợi thế chiến lược cho những kẻ tấn công. Tính bất biến của nó đảm bảo rằng một khi mã độc được nhúng vào hợp đồng thông minh, nó không thể dễ dàng bị xóa hoặc sửa đổi, cung cấp một máy chủ chỉ huy và kiểm soát (C2) có khả năng phục hồi. Việc sử dụng các lệnh gọi chỉ đọc mang lại khả năng tàng hình đáng kể, khiến các hoạt động khó theo dõi hơn trên blockchain. Hơn nữa, tính linh hoạt của EtherHiding cho phép những kẻ tấn công cập nhật tải trọng và thay đổi phương pháp tấn công bằng cách chỉ cần sửa đổi hợp đồng thông minh, điều chỉnh chiến thuật của chúng trong thời gian thực.
Việc áp dụng nhiều blockchain cho hoạt động EtherHiding cho thấy sự phân chia hoạt động giữa các nhà khai thác mạng Triều Tiên. Trong khi các tải trọng độc hại được lưu trữ trên chuỗi, các tác nhân đe dọa không trực tiếp tương tác với các blockchain này; thay vào đó, họ sử dụng các dịch vụ tập trung, tương tự như các dịch vụ Web2 truyền thống, để giao diện với các mạng. Cách tiếp cận kết hợp này cho phép các lợi ích phi tập trung của lưu trữ blockchain trong khi tận dụng cơ sở hạ tầng web đã được thiết lập để truy cập.
Ý nghĩa thị trường
Sự xuất hiện của EtherHiding bởi một thực thể do nhà nước tài trợ như Lazarus Group của Triều Tiên đặt ra những tác động đáng kể đối với hệ sinh thái Web3 rộng lớn hơn và thị trường tiền điện tử. Những lo ngại về bảo mật gia tăng có thể dẫn đến sự sụt giảm niềm tin của người dùng vào bảo mật hợp đồng thông minh và do đó, gây ra sự lo ngại ngắn hạn trên thị trường. Khả năng phục hồi của kỹ thuật này trước các nỗ lực gỡ bỏ thông thường đòi hỏi việc kiểm toán hợp đồng thông minh mạnh mẽ hơn và tăng cường giáo dục bảo mật trong cộng đồng tiền điện tử. Sự phát triển này cũng có thể tăng cường sự giám sát của các cơ quan quản lý đối với các biện pháp bảo mật tiền điện tử, có khả năng thúc đẩy các tiêu chuẩn tuân thủ nghiêm ngặt hơn để giảm thiểu sự khai thác của quốc gia đối với các công nghệ phi tập trung.
Các tổ chức hoạt động trong hoặc tương tác với không gian Web3 được khuyên nên áp dụng mô hình bảo mật không tin cậy và thực thi các chính sách Chrome Enterprise mạnh mẽ, chẳng hạn như DownloadRestrictions, Managed Updates và Safe Browsing, để phá vỡ các chiến dịch tinh vi như vậy. Sự phát triển không ngừng của các mối đe dọa này nhấn mạnh nhu cầu cấp thiết về sự cảnh giác liên tục và các chiến lược an ninh mạng thích ứng trong bối cảnh tài sản kỹ thuật số.
Bối cảnh rộng hơn
Chiến dịch Phỏng vấn lây nhiễm, một vụ lừa đảo tuyển dụng phức tạp nhắm vào các nhà phát triển trong lĩnh vực công nghệ và tiền tệ kỹ thuật số, là một vector chính cho UNC5342. Những kẻ tấn công tạo hồ sơ gian lận trên các trang mạng xã hội chuyên nghiệp, mạo danh nhà tuyển dụng, sau đó chuyển các cuộc trò chuyện sang các nền tảng như Telegram hoặc Discord. Nạn nhân sau đó được yêu cầu tải xuống các tệp độc hại ngụy trang dưới dạng đánh giá mã hóa từ các nền tảng như GitHub hoặc npm. Cách tiếp cận kỹ thuật xã hội toàn diện này, kết hợp với sự tinh vi về kỹ thuật của EtherHiding, minh họa một xu hướng ngày càng tăng của các mối đe dọa dai dẳng nâng cao tận dụng các phương pháp mới để khai thác bản chất phi tập trung của công nghệ blockchain. Sự phát triển của các chiến thuật như vậy nêu bật một thách thức dai dẳng đối với các biện pháp phòng thủ an ninh mạng khi các tác nhân đe dọa liên tục thích nghi để trốn tránh sự phát hiện và duy trì quyền truy cập dài hạn vào các mục tiêu có giá trị cao để gián điệp và thu lợi tài chính.
nguồn:[1] Tin tặc Triều Tiên nhúng mã khai thác tinh vi vào hợp đồng thông minh (https://cointelegraph.com/news/north-korea-ha ...)[2] CHDCND Triều Tiên áp dụng EtherHiding: Phần mềm độc hại của nhà nước ẩn trên Blockchain - Google Cloud (https://cloud.google.com/blog/topics/threat-i ...)[3] Nhóm Triều Tiên sử dụng blockchain để khởi chạy phần mềm độc hại tiên tiến - SecurityBrief Asia (https://vertexaisearch.cloud.google.com/groun ...)