朝鮮黑客利用區塊鏈技術進行“EtherHiding”攻擊
谷歌威脅情報小組(GTIG)10 月 17 日報告稱,這項名為 ETHerHiding 的技術標誌著黑客在分散系統中隱藏、分發和控制惡意軟件的方式有了新的發展。
.divm, .divd {display: none;}@media screen 和 (max-Width: 768px) {.divm {display: block;}}@media screen 和 (min-width: 769px) {.divd {display: block;}}EtherHiding 是什麼?
GTIG解釋EtherHiding 允許攻擊者利用智能合約進行攻擊,以太坊等公共區塊鍊和 BNB智能鏈通過使用它們來存儲惡意負載。
一旦將一段代碼上傳到這些分散的賬本,由於其不可變的性質,刪除或阻止它幾乎變得不可能。
GTIG 寫道:“儘管智能合約提供了構建去中心化應用程序的創新方法,但其不可更改的性質在 etherHiding 中被利用,以一種無法輕易阻止的方式託管和提供惡意代碼。”
實際上,黑客通常會利用未修補的漏洞或被盜的憑證來入侵合法的 WordPress 網站。
獲得訪問權限後,他們會在網站代碼中插入幾行 JavaScrIPt(稱為“加載程序”)。 當訪問者打開受感染的頁面時,加載程序會悄悄連接到區塊鏈,並從遠程服務器檢索惡意軟件。
GTIG 指出,此類攻擊通常不會留下任何可見的交易痕跡,而且由於發生在鏈下,幾乎不需要任何費用。 這實際上使得攻擊者能夠不被發現地進行操作。
.divm, .divd {display: none;}@media screen 和 (max-width: 768px) {.divm {display: block;}}@media screen 和 (min-width: 769px) {.divd {display: block;}}值得注意的是,GTIG 將 EtherHiding 的第一個實例追溯到 2023 年 9 月,當時它出現在名為 CLEARFAKE 的活動中,該活動使用虛假的瀏覽器更新提示欺騙用戶。
如何預防攻擊
網絡安全研究人員表示,這種策略標誌著朝鮮的數字戰略從僅僅竊取加密貨幣到使用區塊鏈本身作為隱形武器。
GTIG 表示:“EtherHiding 代表著向下一代防彈託管的轉變,區塊鏈技術的固有特性被重新用於惡意目的。隨著攻擊者不斷適應並利用新技術為自己謀利,這種技術凸顯了網絡威脅的不斷演變。”
公民實驗室高級研究員約翰·斯科特-雷頓 (John Scott-RailTON) 將 EtherHiding 描述為一項“早期實驗”。 他警告稱,將其與人工智能驅動的自動化可能會使未來的攻擊更難被發現。
“我預計攻擊者還會嘗試將零點擊漏洞直接加載到針對處理區塊鏈的系統和應用程序的區塊鏈上……特別是當它們有時託管在處理交易/擁有錢包的相同系統和網絡上時,”他額外.
考慮到朝鮮攻擊者的猖獗,這種新的攻擊媒介可能會對加密行業產生嚴重影響。
數據 TRM LABs 的研究表明與朝鮮有關的團體已經竊取了超過 15 億美元的加密資產僅今年一年就出現了這種情況。 調查人員認為,這些資金用於資助平壤的軍事計劃和逃避國際制裁的努力。
鑑於此,GTIG 建議加密貨幣用戶通過阻止可疑下載和限制未經授權的網絡腳本來降低風險。 該組織還敦促安全研究人員識別並標記嵌入在區塊鍊網絡中的惡意代碼。
