北韓正在出現一種新的網路威脅,國家支持的駭客正在嘗試將惡意程式碼直接插入區塊鏈網路。
谷歌威脅情報小組(GTIG)10 月 17 日報告稱,這項名為 EtherHiding 的技術標誌著駭客在去中心化系統中隱藏、分發和控制惡意軟體的方式有了新的發展。
EtherHiding 是什麼?
GTIG 解釋說,EtherHiding 允許攻擊者利用智慧合約和公共區塊鏈(如以太坊和BNB 智慧鏈)作為武器,並利用它們來儲存惡意負載。
一旦將一段程式碼上傳到這些分散的帳本,由於其不可變的性質,刪除或阻止它幾乎變得不可能。
GTIG 寫道:“雖然智能合約提供了構建去中心化應用程式的創新方法,但其不可變的性質在 EtherHiding 中被利用,以一種無法輕易阻止的方式託管和分發惡意程式碼。”
實際上,駭客通常會利用未修補的漏洞或被盜的憑證來入侵合法的 WordPress 網站。
獲得存取權限後,他們會在網站程式碼中插入幾行 JavaScript 程式碼(稱為「載入器」)。當訪客開啟受感染的頁面時,載入器會悄悄連接到區塊鏈,並從遠端伺服器檢索惡意軟體。
GTIG 強調,由於這種攻擊發生在鏈下,通常不會留下任何可見的交易痕跡,而且幾乎不收取任何費用。這實際上使得攻擊者能夠不被發現地進行操作。
值得注意的是,GTIG 將 EtherHiding 的第一個實例追溯到 2023 年 9 月,當時它出現在名為 CLEARFAKE 的活動中,該活動使用虛假的瀏覽器刷新提示欺騙用戶。
如何預防攻擊
網路安全研究人員表示,這種策略標誌著北韓的數位戰略從簡單地竊取加密貨幣轉變為使用區塊鏈本身作為隱形武器。
GTIG 表示:“EtherHiding 代表著向下一代防彈託管的轉變,區塊鏈技術的固有特性被重新用於惡意目的。隨著攻擊者不斷調整和利用新技術,這種技術凸顯了網路威脅的持續演變。”
公民實驗室高級研究員約翰·斯科特-雷頓 (John Scott-Railton) 將 EtherHiding 描述為一項「早期實驗」。他警告說,將其與基於人工智慧的自動化技術相結合,可能會使未來的攻擊更難以檢測。
他補充說:“我預計攻擊者還會嘗試直接將零點擊漏洞上傳到區塊鏈,以處理區塊鏈的系統和應用程式為目標……特別是如果它們有時託管在處理交易/擁有錢包的相同系統和網路上。”
考慮到北韓攻擊者特別多,這種新的攻擊媒介可能會對加密貨幣產業產生嚴重影響。
TRM實驗室的數據顯示,光是今年,與北韓相關的組織就已竊取了超過15億美元的加密貨幣。調查人員認為,這些資金被用於資助平壤的軍事計畫以及逃避國際制裁的努力。
有鑑於此,GTIG 建議加密貨幣用戶透過阻止可疑下載和限制未經授權的網路腳本來降低風險。該組織還敦促安全研究人員識別並標記嵌入在區塊鏈網路中的惡意程式碼。