Một báo cáo từ Nhóm Tình báo Đe dọa của Google cảnh báo về một chiến dịch phần mềm độc hại do Triều Tiên thực hiện sử dụng EtherHiding. Chiến dịch này sử dụng một hợp đồng thông minh trên một chuỗi công khai, như Ethereum hoặc BNB, để tránh bị xóa hoặc loại bỏ bằng phương pháp truyền thống.
Google: Triều Tiên Sử Dụng Blockchain để Phân Phối Phần Mềm Độc Hại
TÁC GIẢ
CHIA SẺ
Google Cảnh Báo Triều Tiên Đưa Phần Mềm Độc Hại Vào Các Chuỗi Khối Công Khai
Các Sự Thật:
Trong một báo cáo phát hành ngày 16 tháng 10, Nhóm Tình báo Đe dọa của Google đã cảnh báo về việc sử dụng các chuỗi khối công khai để ẩn phần mềm độc hại bởi các hành động đe dọa quốc gia, bao gồm Triều Tiên.
Chiến dịch này sử dụng một phương pháp gọi là “EtherHiding,” cho phép kẻ tấn công nhúng mã độc hại như một phần của hợp đồng thông minh tồn tại trong các chuỗi khối công khai như Ethereum và BNB Chain. Phương pháp này tăng mạnh vào năm 2023, nhưng Google khẳng định rằng đây là lần đầu tiên quan sát thấy một quốc gia áp dụng nó.
EtherHiding cũng bao gồm các chiến dịch kỹ thuật xã hội quen thuộc mà bao gồm việc tạo ra các công ty giả và tấn công các hồ sơ công việc liên quan đến ngành công nghiệp tiền điện tử hoặc các giao thức tiền điện tử đã biết.
Sự lây lan xảy ra khi các bên quan tâm bị yêu cầu thực hiện các bài kiểm tra lập trình bao gồm tải về các công cụ bị nhiễm, hoặc thông qua việc tải về phần mềm họp video.
Google nhấn mạnh rằng JADESNOW, một phần mềm độc hại được Triều Tiên sử dụng có lợi thế từ EtherHiding, cho thấy sự linh hoạt của các công cụ dựa trên blockchain này. Khi kiểm tra, nhóm đã phát hiện ra rằng hợp đồng độc hại đã được cập nhật hơn 20 lần trong bốn tháng đầu, với chi phí $1,37 cho mỗi lần cập nhật.
“Chi phí thấp và tần suất cập nhật này minh họa khả năng của kẻ tấn công dễ dàng thay đổi cấu hình của chiến dịch.” Google tuyên bố.
Tại Sao Nó Quan Trọng:
Việc sử dụng loại kỹ thuật này, nơi blockchain được sử dụng như là một cơ chế phân phối cho phần mềm độc hại, có thể thúc đẩy các nhà quản lý có một cách tiếp cận khắt khe hơn với việc áp dụng các công nghệ này.
Trong khi phần mềm độc hại được lưu trữ trên máy chủ từ xa có thể được nhắm mục tiêu và xóa, tính không thể thay đổi của blockchain có nghĩa là các công ty bảo mật phải tìm các cách khác để ngăn chặn sự lây lan, nhắm mục tiêu vào các nhà cung cấp API cho phép giao dịch di chuyển mã này đến các nạn nhân.
Chính nhóm của Google tuyên bố rằng cách tiếp cận mới này ngụ ý “những thách thức mới” khi “các hợp đồng thông minh hoạt động tự động và không thể bị ngừng lại.”
Hướng Tới Tương Lai:
Các nhà phân tích dự đoán việc áp dụng loại kỹ thuật này sẽ tiếp tục phát triển trong tương lai, và sẽ được kết hợp với các quy trình đổi mới khác để làm cho chúng trở nên nguy hiểm hơn, nhắm vào các hệ thống xử lý blockchain hoặc ví tiền trực tiếp.
FAQ 🧭
-
Những mối đe dọa gần đây nào mà Google đã xác định về các chuỗi khối công khai?
Google báo cáo rằng các quốc gia, bao gồm Triều Tiên, đang sử dụng một phương pháp gọi là “EtherHiding” để nhúng phần mềm độc hại trong các hợp đồng thông minh trên các chuỗi khối công khai như Ethereum và BNB Chain. -
Phương pháp EtherHiding hoạt động như thế nào?
EtherHiding cho phép kẻ tấn công ẩn mã độc hại trong các hợp đồng thông minh và dựa vào các chiến thuật kỹ thuật xã hội, như tạo ra các công ty giả để lừa những người tìm việc liên quan đến tiền điện tử. -
Phần mềm độc hại cụ thể nào đã được liên kết với kỹ thuật mới này?
Báo cáo đã nêu rõ JADESNOW, một phần mềm độc hại của Triều Tiên sử dụng EtherHiding, cho thấy những cập nhật thường xuyên và chi phí hoạt động thấp để thay đổi cấu hình tấn công của nó. -
Kỹ thuật này có ý nghĩa gì đối với việc quản lý blockchain?
Khi tính không thể thay đổi của blockchain làm phức tạp việc loại bỏ phần mềm độc hại, các nhà quản lý có thể tìm kiếm các kiểm soát nghiêm ngặt hơn đối với các công nghệ blockchain để giảm thiểu mối đe dọa phát triển của việc lạm dụng phần mềm độc hại trong môi trường tiền điện tử.
