Google: เกาหลีเหนือใช้บล็อกเชนเพื่อกระจายมัลแวร์

Google เตือนเกี่ยวกับเกาหลีเหนือที่ใส่มัลแวร์ในบล็อกเชนสาธารณะ

ข้อเท็จจริง:

ใน รายงาน ที่ออกเมื่อวันที่ 16 ตุลาคม Google Threat Intelligence Group แจ้งเตือนเกี่ยวกับการใช้บล็อกเชนสาธารณะในการซ่อนมัลแวร์โดยการกระทำของภัยคุกคามจากรัฐชาติรวมถึงเกาหลีเหนือ

แคมเปญนี้ใช้วิธีที่เรียกว่า “EtherHiding” ซึ่งอนุญาตให้นักโจมตีฝังโค้ดที่เป็นอันตรายในสัญญาอัจฉริยะที่อยู่ในบล็อกเชนสาธารณะเช่น Ethereum และ BNB Chain วิธีนี้มีการเพิ่มขึ้นในปี 2023 แต่ Google ระบุว่านี่เป็นครั้งแรกที่ได้สังเกตเห็นรัฐชาติรับเอาวิธีนี้ไปใช้

EtherHiding ยังครอบคลุมถึงแคมเปญวิศวกรรมสังคมที่คาดการณ์ได้ซึ่งรวมถึงการจัดตั้งบริษัทปลอมและการตั้งเป้าหมายโปรไฟล์งานที่เชื่อมโยงกับอุตสาหกรรมสกุลเงินดิจิทัลหรือโปรโตคอลสกุลเงินดิจิทัลที่รู้จัก

การติดเชื้อเกิดขึ้นเมื่อผู้สนใจถูกทดสอบการเขียนโปรแกรมซึ่งรวมถึงการดาวน์โหลดเครื่องมือที่ติดไวรัสหรือผ่านการดาวน์โหลดซอฟต์แวร์การประชุมทางวิดีโอ

Google เน้นว่า JADESNOW มัลแวร์ที่ใช้โดยเกาหลีเหนือที่ใช้ประโยชน์จาก EtherHiding แสดงถึงความหลากหลายของเครื่องมือที่ใช้บล็อกเชนในการตรวจสอบ พบว่าสัญญาที่เป็นอันตรายนี้ได้รับการอัพเดตมากกว่า 20 ครั้งในช่วงสี่เดือนแรกด้วยค่าธรรมเนียมแก๊ส $1.37 ต่อการอัพเดต

“ค่าต่ำและความถี่ของการอัพเดตเหล่านี้แสดงให้เห็นถึงความสามารถของนักโจมตีในการปรับเปลี่ยนการกำหนดค่าของแคมเปญได้อย่างง่ายดาย” Google ประกาศ

ทำไมมันถึงสำคัญ:

การใช้เทคนิคประเภทนี้ ซึ่งบล็อกเชนถูกใช้เป็นกลไกการกระจายสำหรับมัลแวร์ อาจกระตุ้นให้หน่วยงานกำกับดูแลใช้แนวทางที่เข้มงวดมากขึ้นในการยอมรับเทคโนโลยีเหล่านี้

ในขณะที่มัลแวร์ที่อยู่ในเซิร์ฟเวอร์ระยะไกลสามารถถูกกำหนดเป้าหมายและลบทิ้งได้ ความไม่สามารถเปลี่ยนแปลงของบล็อกเชนหมายความว่าบริษัทด้านความปลอดภัยต้องหาวิธีอื่นในการป้องกันการแพร่กระจาย โดยเน้นการกำหนดเป้าหมายไปยังผู้ให้บริการ API ที่อนุญาตให้ทำธุรกรรมเพื่อย้ายโค้ดนี้ไปยังเหยื่อ

กลุ่มของ Google เองระบุว่าแนวทางใหม่นี้มี “ความท้าทายใหม่” เนื่องจาก “สัญญาอัจฉริยะดำเนินการอัตโนมัติและไม่สามารถปิดได้”

มองไปข้างหน้า:

นักวิเคราะห์ คาดหวัง ว่าการนำเทคนิคประเภทนี้ไปใช้จะเติบโตอย่างต่อเนื่องในอนาคตและจะผสานรวมกับกระบวนการนวัตกรรมอื่น ๆ เพื่อทำให้กลายเป็นอันตรายขึ้น โดยการกำหนดเป้าหมายไปยังระบบที่จัดการบล็อกเชนหรือกระเป๋าสตางค์โดยตรง

FAQ 🧭

• Google ระบุภัยคุกคามล่าสุดอะไรเกี่ยวกับบล็อกเชนสาธารณะ?
  Google รายงานว่านักแสดงของรัฐชาติรวมถึงเกาหลีเหนือกำลังใช้วิธีการที่เรียกว่า “EtherHiding” เพื่อฝังมัลแวร์ภายในสัญญาอัจฉริยะบนบล็อกเชนสาธารณะเช่น Ethereum และ BNB Chain

• EtherHiding ทำงานอย่างไร?
  EtherHiding อนุญาตให้นักโจมตีซ่อนโค้ดที่เป็นอันตรายภายในสัญญาอัจฉริยะและอาศัยกลวิธีวิศวกรรมสังคมเช่นการสร้างบริษัทปลอมเพื่อลวงผู้หางานที่เกี่ยวข้องกับสกุลเงินดิจิทัล

• มีมัลแวร์เฉพาะอะไรบ้างที่เกี่ยวข้องกับเทคนิคใหม่นี้?
  รายงานที่ระบุว่า JADESNOW มัลแวร์ของเกาหลีเหนือที่ใช้ประโยชน์จาก EtherHiding แสดงถึงการอัพเดตบ่อยครั้งและต้นทุนการดำเนินงานต่ำในการเปลี่ยนแปลงการกำหนดค่าของการโจมตี

• เทคนิคนี้มีผลกระทบต่อการกำกับดูแลบล็อกเชนอย่างไร?
  เนื่องจากความไม่สามารถเปลี่ยนแปลงของบล็อกเชนทำให้การลบมัลแวร์ซับซ้อน ผู้กำกับดูแลอาจหามาตรการควบคุมที่เข้มงวดขึ้นเกี่ยวกับเทคโนโลยีบล็อกเชนเพื่อลดภัยคุกคามที่พัฒนาในสิ่งแวดล้อมของสกุลเงินดิจิทัล