Google: Северная Корея использует Блокчейн для распространения вредоносного ПО

В отчете Группы разведки угроз Google предупреждается о кампании вредоносных программ, реализованной Северной Кореей, которая использует EtherHiding. Кампания использует смарт-контракт на публичной цепочке, такой как Ethereum или BNB, чтобы избежать удаления традиционными методами.

Google Предупреждает о том, что Северная Корея помещает вредоносные программы в общественные блокчейны

Факты:

В отчете, опубликованном 16 октября, группа Google Threat Intelligence предупредила о использовании публичных блокчейнов для сокрытия вредоносных программ в действиях угроза со стороны государств, включая Северную Корею.

Кампания использует метод под названием “EtherHiding”, который позволяет злоумышленникам внедрять вредоносные программы как часть смарт-контракта, находящегося в публичных блокчейнах, таких как Ethereum и BNB Chain. Этот метод набрал популярность в 2023 году, но Google утверждает, что это первый раз, когда он наблюдает, чтобы государственная нация приняла его.

ЭфирХидинг также включает ожидаемые кампании социального инжиниринга, которые включают создание поддельных компаний и нацеливание на профили вакансий, связанные с индустрией криптовалют или известными криптовалютными протоколами.

Заражение происходит, когда заинтересованные стороны подвергаются программным тестам, которые включают загрузку зараженных инструментов, или через загрузку программного обеспечения для видеозвонков.

Google подчеркивает, что JADESNOW, вредоносная программа, используемая Северной Кореей и использующая EtherHiding, демонстрирует универсальность этих инструментов на основе блокчейна. Изучив его, группа обнаружила, что вредоносный контракт был обновлен более 20 раз в первые четыре месяца, с затратами на газ в $1.37 за обновление.

“Низкая стоимость и частота этих обновлений иллюстрируют способность атакующего легко изменять конфигурацию кампании.” - заявило Google.

Почему это актуально:

Использование такого рода техники, при которой блокчейн используется в качестве механизма распространения вредоносных программ, может побудить регуляторов применить более жесткий подход к внедрению этих технологий.

Хотя вредоносные программы, размещенные на удаленном сервере, могут быть нацелены и удалены, неизменяемость блокчейна означает, что компаниям по безопасности необходимо искать другие способы предотвращения распространения, нацеливаясь на поставщиков API, которые позволяют транзакциям переносить этот код к жертвам.

Группа Google сама заявила, что этот новый подход подразумевает “новые вызовы”, так как “умные контракты работают автономно и не могут быть отключены.”

С нетерпением ждем:

Аналитики ожидают, что принятие такого рода технологий будет продолжать расти в будущем и будет сочетаться с другими инновационными процессами, что сделает их еще более опасными, нацеливаясь на системы, которые напрямую обрабатывают блокчейны или кошельки.

ЧАВО 🧭

• Какую недавнюю угрозу выявил Google в отношении публичных блокчейнов? Google сообщил, что государственные актеры, включая Северную Корею, используют метод, называемый “EtherHiding”, чтобы встроить вредоносные программы в смарт-контракты на публичных блокчейнах, таких как Ethereum и BNB Chain.
• Как работает метод EtherHiding? EtherHiding позволяет злоумышленникам скрывать вредоносные программы внутри смарт-контрактов и полагается на тактики социального воздействия, такие как создание фиктивных компаний для заманивания соискателей работы, связанных с криптовалютами.
• С каким конкретным вредоносным программным обеспечением связана эта новая техника? В отчете подчеркивается JADESNOW, северокорейская вредоносная программа, которая использует EtherHiding, демонстрируя частые обновления и низкие операционные расходы на изменение своей конфигурации атаки.
• Какие последствия имеет эта техника для регулирования блокчейна? Поскольку неизменяемость блокчейна усложняет удаление вредоносных программ, регуляторы могут стремиться к более строгому контролю над технологиями блокчейна, чтобы смягчить развивающуюся угрозу эксплуатации вредоносных программ в криптовалютной среде.