Nordkoreanske Trusselaktører og EtherHiding
Nordkoreanske trusselaktører har tatt i bruk en blockchain-basert teknikk kalt EtherHiding for å levere skadelig programvare designet for å stjele kryptovaluta, inkludert XRP. Ifølge Googles Threat Intelligence Group (GTIG) er dette første gang de har observert en statlig aktør bruke denne metoden.
Metoden Bak EtherHiding
Metoden involverer ondsinnede JavaScript-payloads inne i blockchain-smarte kontrakter for å opprette robuste kommandosentraler. EtherHiding-teknikken retter seg mot utviklere innen kryptovaluta og teknologisektoren gjennom sosial ingeniørkunst-kampanjer som er sporet som «Contagious Interview.» Kampanjen har ført til en rekke kryptovaluta-tyverier som påvirker XRP-innehavere og brukere av andre digitale eiendeler.
Hvordan EtherHiding Fungerer
EtherHiding lagrer ondsinnet kode på desentraliserte og tillatelsesfrie blockchains, noe som fjerner behovet for sentrale servere som rettshåndhevelse eller cybersikkerhetsfirmaer kan ta ned. Angripere som kontrollerer smarte kontrakter kan oppdatere ondsinnede payloads når som helst og opprettholde vedvarende tilgang til kompromitterte systemer.
«Googles rapport beskriver EtherHiding som et skifte mot neste generasjons kulebeskyttet hosting, der blockchain-teknologiens funksjoner muliggjør ondsinnede formål.»
Når brukere interagerer med kompromitterte nettsteder, aktiveres koden for å stjele XRP, andre kryptovalutaer og sensitiv informasjon. De kompromitterte nettstedene kommuniserer med blockchain-nettverk ved hjelp av lese-only funksjoner som unngår å opprette hovedbokstransaksjoner. Dette minimerer oppdagelse og transaksjonsgebyrer.
Contagious Interview Kampanjen
Contagious Interview-kampanjen sentrerer seg om sosial ingeniørkunst-taktikker som etterligner legitime rekrutteringsprosesser gjennom falske rekrutterere og fabrikerte selskaper. Falske rekrutterere lokker kandidater til plattformer som Telegram eller Discord, og leverer deretter skadelig programvare gjennom villedende kodetester eller falske programvarenedlastinger som er forkledd som tekniske vurderinger.
Kampanjen benytter flertrinns infeksjon av skadelig programvare, inkludert varianter som JADESNOW, BEAVERTAIL og INVISIBLEFERRET, som påvirker Windows, macOS og Linux-systemer. Ofrene tror de deltar i legitime jobbintervjuer, mens de uvitende laster ned skadelig programvare designet for å oppnå vedvarende tilgang til bedriftsnettverk og stjele kryptovaluta-beholdninger.
