En rapport fra Google Threat Intelligence Group advarede om en malware-kampagne implementeret af Nordkorea, der bruger EtherHiding. Kampagnen anvender en smart kontrakt på en offentlig kæde, såsom Ethereum eller BNB, for at undgå sletning eller fjernelse med traditionelle metoder.
Google: Nordkorea bruger blockchain til at distribuere malware
SKREVET AF
DEL
Google advarer om, at Nordkorea placerer malware i offentlige blockchains
Fakta:
I en rapport udstedt den 16. oktober advarede Google Threat Intelligence Group om brugen af offentlige blockchains til at skjule malware af statssponsorerede trusler, herunder Nordkorea.
Kampagnen bruger en metode kaldet “EtherHiding,” der gør det muligt for angribere at indlejre ondsindet kode som en del af en smart kontrakt, der befinder sig i offentlige blockchains som Ethereum og BNB Chain. Metoden tog fart i 2023, men Google oplyser, at dette er første gang, den har observeret en stat, der adopterer den.
EtherHiding omfatter også de forventede social engineering-kampagner, der inkluderer oprettelse af falske virksomheder og målretning af jobprofiler forbundet med kryptovalutaindustrien eller kendte kryptovalutaprotokoller.
Smitten sker, når de interesserede parter udsættes for programmeringstests, der inkluderer download af inficerede værktøjer, eller gennem downloads af videomøde-software.
Google fremhæver, at JADESNOW, en malware brugt af Nordkorea, der udnytter EtherHiding, viser alsidigheden af disse blockchain-baserede værktøjer. Gruppen fandt, at den ondsindede kontrakt er blevet opdateret over 20 gange inden for de første fire måneder, for $1,37 i gasgebyrer per opdatering.
“De lave omkostninger og frekvensen af disse opdateringer illustrerer angriberens evne til let at ændre kampagnens konfiguration.” erklærede Google.
Hvorfor det er relevant:
Anvendelsen af denne slags teknik, hvor blockchain bruges som en distributionsmekanisme for malware, kan få regulatorerne til at tage en strengere tilgang til adoptionen af disse teknologier.
Mens malware hostet på en fjernserver kan målrettes og slettes, betyder blockchainens uforanderlighed, at sikkerhedsfirmaer skal finde andre måder at forhindre spredningen på, ved at målrette API-udbydere, der tillader transaktioner at flytte denne kode til ofre.
Googles gruppe selv udtalte, at denne nye tilgang indebærer “nye udfordringer”, da “smart kontrakter opererer autonomt og ikke kan lukkes ned.”
Fremadrettet:
Analytikere forventer at adoptionen af denne slags teknik vil fortsætte med at vokse i fremtiden, og blive kombineret med andre innovative processer for at gøre dem endnu mere farlige, målrettet systemer, der håndterer blockchains eller wallets direkte.
FAQ 🧭
-
Hvilken nylig trussel identificerede Google vedrørende offentlige blockchains?
Google rapporterede, at statssponsorerede aktører, herunder Nordkorea, bruger en metode kaldet “EtherHiding” til at indlejre malware inden for smarte kontrakter på offentlige blockchains som Ethereum og BNB Chain. -
Hvordan fungerer EtherHiding-metoden?
EtherHiding gør det muligt for angribere at skjule ondsindet kode inden for smarte kontrakter og stoler på social engineering-taktikker, såsom at skabe falske virksomheder for at lokke jobsøgende relateret til kryptovaluta. -
Hvilken specifik malware er blevet forbundet med denne nye teknik?
Rapporten fremhævede JADESNOW, en nordkoreansk malware, der udnytter EtherHiding, og som viser hyppige opdateringer og lave driftsomkostninger for ændring af sin angrebskonfiguration. -
Hvilke konsekvenser har denne teknik for blockchain-regulering?
Da blockchainens uforanderlighed komplicerer fjernelse af malware, kan regulatorer søge strengere kontroller over blockchain-teknologier for at mindske den voksende trussel om malware-udnyttelse i kryptovalutamiljøer.
