Τουλάχιστον δύο διαφορετικοί οργανισμοί hacking, συμπεριλαμβανομένων α Βορειοκορεάτης συνδεδεμένος με το κράτος ηθοποιός και α εγκληματική ομάδα με οικονομικά κίνητρααξιοποιούν τις δημόσιες αλυσίδες μπλοκ για την απόκρυψη και τη διαχείριση κακόβουλου λογισμικού, σύμφωνα με έρευνα του Threat Intelligence Group της Google. Αυτή η μέθοδος καθιστά τις δραστηριότητές τους εξαιρετικά ανθεκτικές στις συμβατικές προσπάθειες κατάργησης.
Η τεχνική, την οποία οι ερευνητές ονόμασαν EtherHiding, αλλάζει ουσιαστικά τον τρόπο με τον οποίο οι εισβολείς διαχειρίζονται και αναπτύσσουν κακόβουλο κώδικα ενσωματώνοντας οδηγίες σε έξυπνες συμβάσεις σε δημόσιες αλυσίδες μπλοκ αντί να βασίζονται σε συμβατικούς διακομιστές εντολών και ελέγχου. Αυτή η προσέγγιση αξιοποιεί τα αποκεντρωμένα και αμετάβλητα χαρακτηριστικά της τεχνολογίας blockchain για να δημιουργήσει αυτό που η έρευνα περιγράφει ως «αλεξίσφαιρη» υποδομή. Ο Robert Wallace, ηγέτης συμβούλων στη Mandiant, μέλος του Google Cloud, χαρακτήρισε την ανάπτυξη ως «κλιμάκωση στο τοπίο της απειλής». Σημείωσε ότι οι χάκερ έχουν αναπτύξει μια μέθοδο που «αντέχει στις καταργήσεις από την επιβολή του νόμου» και μπορεί «να τροποποιηθεί εύκολα για νέες καμπάνιες». Ο βασικός σχεδιασμός του blockchain διασφαλίζει ότι από τη στιγμή που τα δεδομένα καταγράφονται, δεν μπορούν να τροποποιηθούν ή να αφαιρεθούν, παρέχοντας στους εισβολείς μια επίμονη και αξιόπιστη πλατφόρμα για τις δραστηριότητές τους που δεν υπόκεινται στις τυπικές διαδικασίες κατάργησης που στοχεύουν σε κεντρικούς διακομιστές.
Το EtherHiding παρατηρήθηκε για πρώτη φορά το 2023 κατά τη διάρκεια μιας εκστρατείας γνωστής ως ClearFake, όπου οι εγκληματίες του κυβερνοχώρου με οικονομικά κίνητρα χρησιμοποιούσαν πλαστές προτροπές ενημέρωσης προγράμματος περιήγησης για να δελεάσουν τα θύματα. Η υποκείμενη έννοια περιλαμβάνει την αποθήκευση κακόβουλου κώδικα ή εντολών σε μια συναλλαγή blockchain ή, πιο συχνά, σε ένα έξυπνο συμβόλαιο. Στη συνέχεια, οι εισβολείς ανακτούν αυτές τις πληροφορίες χρησιμοποιώντας κλήσεις μόνο για ανάγνωση στο blockchain. Επειδή αυτές οι κλήσεις δεν γράφουν νέα δεδομένα ούτε μεταφέρουν περιουσιακά στοιχεία, δεν δημιουργούν ορατές συναλλαγές στο δημόσιο καθολικό. Αυτό το μυστικό επιτρέπει στο κακόβουλο λογισμικό να λαμβάνει οδηγίες χωρίς να αφήνει ξεκάθαρο ίχνος για τους αναλυτές ασφαλείας. Ως αποτέλεσμα, οι υπερασπιστές δεν μπορούν να εξαρτώνται από παραδοσιακούς δείκτες συμβιβασμού, όπως κακόβουλους τομείς ή διευθύνσεις IP, οι οποίοι είναι κεντρικοί για τον συμβατικό εντοπισμό και αποκλεισμό απειλών. Η έκθεση αναφέρει ότι για όσο διάστημα το blockchain παραμένει σε λειτουργία, ο «κακόβουλος κώδικας παραμένει προσβάσιμος».
Οι ερευνητές εντόπισαν ότι οι δύο ομάδες προσάρμοσαν το EtherHiding για διαφορετικούς στόχους. Η συνδεδεμένη με τη Βόρεια Κορέα ομάδα, η οποία παρακολουθείται ως UNC5342, ενσωματώνει την τεχνική σε εξελιγμένες καμπάνιες κοινωνικής μηχανικής που έχουν σχεδιαστεί για να διεισδύσουν στα δίκτυα προγραμματιστών και εταιρειών κρυπτονομισμάτων. Αντίθετα, η οικονομικά καθοδηγούμενη ομάδα UNC5142 χρησιμοποιεί το EtherHiding για να διευκολύνει την ευρεία διανομή κακόβουλου λογισμικού που κλέβει πληροφορίες, θέτοντας σε κίνδυνο έναν μεγάλο αριθμό ιστοτόπων WordPress.
Η βορειοκορεατική ομάδα απειλών UNC5342 ενσωμάτωσε την τεχνική EtherHiding σε μια ευρύτερη επιχείρηση που Δίκτυα Palo Alto προηγουμένως ονομαζόταν καμπάνια Μεταδοτικής Συνέντευξης. Αυτή η καμπάνια περιλαμβάνει τακτικές κοινωνικής μηχανικής όπου οι επιτιθέμενοι υποδύονται τους στρατολόγους σε επαγγελματικούς ιστότοπους δικτύωσης όπως το LinkedIn και διάφορους πίνακες εργασίας. Προσεγγίζουν τους προγραμματιστές λογισμικού με δόλιες προσφορές εργασίας από κατασκευασμένες εταιρείες, με τις «BlockNovas LLC» και «Angeloper Agency» να είναι δύο παραδείγματα των ψευδών εταιρειών που χρησιμοποιούνται. Οι επιτιθέμενοι στοχεύουν να χτίσουν μια σχέση με τους στόχους τους πριν τους μετακινήσουν στο επόμενο στάδιο της επίθεσης.
Μετά την έναρξη της αρχικής επαφής, οι ηθοποιοί πίσω από το UNC5342 θα παρέσυραν τους στοχευμένους προγραμματιστές σε σκηνοθετημένες συνεντεύξεις που πραγματοποιούνταν σε εφαρμογές κρυπτογραφημένων μηνυμάτων όπως το Telegram και το Discord. Κατά τη διάρκεια αυτού που παρουσιάστηκε ως πρόκληση τεχνικής αξιολόγησης ή κωδικοποίησης, τα θύματα έλαβαν οδηγίες να κατεβάσουν και να εκτελέσουν αρχεία από δημόσια αποθετήρια στο GitHub ή στο npm. Αυτά τα αρχεία υποτίθεται ότι ήταν μέρος της διαδικασίας συνέντευξης, αλλά περιείχαν κρυφά ωφέλιμα φορτία κακόβουλου λογισμικού. Οι κύριες οικογένειες κακόβουλου λογισμικού που προσδιορίζονται σε αυτήν την καμπάνια είναι το JadeSnow, πρόγραμμα λήψης και το InvisibleFerret, ένα backdoor. Και τα δύο αυτά κακόβουλα εργαλεία έχουν σχεδιαστεί για να χρησιμοποιούν το EtherHiding για τις επικοινωνίες εντολών και ελέγχου, συνδέοντας με έξυπνα συμβόλαια ελεγχόμενα από τον εισβολέα που αναπτύσσονται τόσο στα δίκτυα Ethereum όσο και στο BNB Smart Chain για να λαμβάνουν οδηγίες.
Η αλυσίδα μόλυνσης που ξεκίνησε από το UNC5342 είναι μεθοδική. Το πρόγραμμα λήψης JadeSnow είναι το πρώτο στοιχείο που εκτελείται στο σύστημα ενός θύματος. Είναι προγραμματισμένο να ρωτά συγκεκριμένα έξυπνα συμβόλαια στο blockchain για να λαμβάνει κρυπτογραφημένα ωφέλιμα φορτία JavaScript. Αυτά τα ωφέλιμα φορτία, αφού αποκρυπτογραφηθούν, είναι υπεύθυνα για την παράδοση της κύριας κερκόπορτας, του InvisibleFerret. Μόλις εγκατασταθεί και ενεργοποιηθεί το κακόβουλο λογισμικό InvisibleFerret σε ένα παραβιασμένο μηχάνημα, παρέχει στους εισβολείς ένα ευρύ φάσμα δυνατοτήτων. Αυτά περιλαμβάνουν τη δυνατότητα διείσδυσης ευαίσθητων δεδομένων, λήψης διαπιστευτηρίων χρήστη και άσκησης απομακρυσμένου ελέγχου στο μολυσμένο σύστημα. Σε ορισμένες περιπτώσεις που παρατηρήθηκαν, οι ερευνητές παρατήρησαν ότι το InvisibleFerret ανέπτυξε μια πρόσθετη ενότητα κλοπής διαπιστευτηρίων ειδικά σχεδιασμένη για να στοχεύει προγράμματα περιήγησης ιστού και δημοφιλή πορτοφόλια κρυπτονομισμάτων όπως το MetaMask και το Phantom. Τα δεδομένα που έχουν κλαπεί μέσω αυτών των δραστηριοτήτων στη συνέχεια διοχετεύονται σε διακομιστές που ελέγχονται από τους εισβολείς και αποστέλλονται επίσης σε ιδιωτικά κανάλια Telegram. Η καμπάνια εξυπηρετεί έναν διπλό σκοπό για το καθεστώς της Βόρειας Κορέας: τη δημιουργία παράνομων εσόδων μέσω κλοπής κρυπτονομισμάτων και τη συλλογή στρατηγικών πληροφοριών από τους παραβιασμένους προγραμματιστές και τους εργοδότες τους.
Σε μια ξεχωριστή έρευνα, το Google Mandiant παρουσίασε λεπτομερώς τις δραστηριότητες του UNC5142, ενός παράγοντα απειλών με οικονομικά κίνητρα που επίσης βασίζεται στο EtherHiding. Ο πρωταρχικός στόχος αυτής της ομάδας είναι να μολύνει έναν τεράστιο αριθμό ιστότοπων για τη διανομή διαφόρων οικογενειών κακόβουλου λογισμικού που κλέβει πληροφορίες. Η μέθοδος της ομάδας περιλαμβάνει την παραβίαση ιστοτόπων WordPress που έχουν ευπάθειες ασφαλείας και την ένεση τους με κακόβουλα προγράμματα λήψης JavaScript, τα οποία συλλογικά αναφέρονται ως ClearShort. Αυτά τα σενάρια έχουν σχεδιαστεί για να χρησιμοποιούν έξυπνες συμβάσεις στο BNB Smart Chain ως ένα ελαστικό επίπεδο ελέγχου, λαμβάνοντας ωφέλιμα φορτία δεύτερου σταδίου ή ανακατευθύνοντας τα θύματα σε σελίδες προορισμού που φιλοξενούνται από τον εισβολέα.
Η λειτουργική υποδομή του UNC5142 είναι αξιοσημείωτη για την εκτεταμένη χρήση νόμιμων υπηρεσιών για την απόκρυψη των κακόβουλων δραστηριοτήτων του. Η ομάδα φιλοξενεί τις κακόβουλες σελίδες προορισμού της στην υπηρεσία pages.dev του Cloudflare, κάνοντας την κίνηση να φαίνεται πιο νόμιμη, ενώ οι βασικές πληροφορίες εντολών και ελέγχου αποθηκεύονται στο blockchain. Μέχρι τα μέσα του 2025, η ομάδα της Google είχε εντοπίσει ίχνη των σεναρίων με ένεση του UNC5142 σε περίπου 14.000 διαφορετικούς ιστότοπους. Η αρχιτεκτονική του ομίλου εξελίχθηκε επίσης, μεταβαίνοντας από ένα ενιαίο έξυπνο συμβόλαιο σε ένα πιο σύνθετο σύστημα τριών επιπέδων που μιμείται ένα «μοτίβο μεσολάβησης» λογισμικού. Αυτή η προηγμένη δομή αποτελείται από μια σύμβαση δρομολογητή που κατευθύνει την κυκλοφορία, μια σύμβαση δακτυλικών αποτυπωμάτων για το προφίλ του συστήματος του θύματος και μια σύμβαση ωφέλιμου φορτίου που αποθηκεύει κρυπτογραφημένα δεδομένα και κλειδιά αποκρυπτογράφησης. Αυτός ο σχεδιασμός επιτρέπει στους εισβολείς να ενημερώνουν την υποδομή τους, όπως URL προσέλκυσης ή κλειδιά κρυπτογράφησης, σε χιλιάδες μολυσμένους ιστότοπους ταυτόχρονα μέσω μιας ενιαίας συναλλαγής blockchain, η οποία μπορεί να κοστίσει μόλις ένα δολάριο σε τέλη δικτύου.
Για την παράδοση των τελικών ωφέλιμων φορτίων του, το UNC5142 χρησιμοποιεί τακτικές κοινωνικής μηχανικής, όπως η εμφάνιση ψεύτικων σελίδων επαλήθευσης Cloudflare ή ψευδών μηνυμάτων ενημέρωσης του προγράμματος περιήγησης Chrome. Αυτά τα θέλγητρα έχουν σχεδιαστεί για να πείσουν τα θύματα να εκτελέσουν κακόβουλες εντολές, που συνήθως κρύβονται σε κάτι που φαίνεται να είναι νόμιμη ενέργεια. Η επιτυχής εκτέλεση οδηγεί στην παράδοση ισχυρών infotealers, συμπεριλαμβανομένων των Vidar, Lummac.V2 και RadThief. Οι καμπάνιες του ομίλου δείχνουν μια σαφή πρόοδο στην τεχνική πολυπλοκότητα, με μια κίνηση προς ισχυρότερα πρότυπα κρυπτογράφησης όπως το AES-GCM και πιο προηγμένες τεχνικές συσκότισης. Σε ένα τεκμηριωμένο παράδειγμα, η JavaScript του εισβολέα έφερε κρυπτογραφημένο HTML από το Cloudflare, το οποίο στη συνέχεια αποκρυπτογραφήθηκε στην πλευρά του πελάτη. Αυτή η αποκρυπτογραφημένη σελίδα ώθησε τον χρήστη να εκτελέσει μια κρυφή εντολή PowerShell που κατέβαζε το τελικό ωφέλιμο φορτίο, συχνά μεταμφιεσμένο σε ένα καλοήθη αρχείο πολυμέσων.
Η ανάλυση των συναλλαγών blockchain αποκάλυψε ότι το UNC5142 διατηρούσε τουλάχιστον δύο παράλληλες υποδομές, τις οποίες οι ερευνητές ονόμασαν Main και Secondary. Και οι δύο χρησιμοποιούσαν τον ίδιο κωδικό έξυπνου συμβολαίου και χρηματοδοτούνταν από πορτοφόλια κρυπτονομισμάτων που συνδέονται μέσω του ανταλλακτηρίου OKX. Οι επιτιθέμενοι παρατηρήθηκαν να ενημερώνουν και τις δύο υποδομές μέσα σε λίγα λεπτά ο ένας από τον άλλον, μια ενέργεια που υποδηλώνει έντονα συντονισμένο έλεγχο από έναν μόνο, οργανωμένο παράγοντα.
Η έρευνα υπογραμμίζει ότι ούτε το UNC5342 ούτε το UNC5142 αλληλεπιδρούν άμεσα με τους κόμβους blockchain. Αντίθετα, εξαρτώνται από κεντρικές υπηρεσίες, όπως τα τελικά σημεία δημόσιας κλήσης απομακρυσμένης διαδικασίας (RPC) ή τρίτους παρόχους API, για την ανάκτηση δεδομένων από το blockchain. Αυτή η εξάρτηση δημιουργεί αυτό που οι ερευνητές αποκαλούν «σημεία παρατήρησης και ελέγχου», όπου οι υπερασπιστές ή οι πάροχοι υπηρεσιών θα μπορούσαν ενδεχομένως να παρέμβουν. Στην περίπτωση του UNC5342, οι ερευνητές επικοινώνησαν με αρκετούς παρόχους API που χρησιμοποιούνταν στην καμπάνια. Η απάντηση ήταν ασυνεπής. Ενώ ορισμένοι πάροχοι ενήργησαν γρήγορα για να μπλοκάρουν την κακόβουλη δραστηριότητα, άλλοι όχι. Αυτή η άνιση συνεργασία, είπαν οι ερευνητές, «αυξάνει τον κίνδυνο πολλαπλασιασμού αυτής της τεχνικής μεταξύ των παραγόντων απειλών».
Η εγγενής φύση των έξυπνων συμβολαίων αποτελεί σημαντική πρόκληση, καθώς είναι τόσο δημόσια όσο και αμετάβλητα. Μόλις αναπτυχθεί, ο κώδικάς τους δεν μπορεί να αφαιρεθεί ή να αποκλειστεί από ομάδες ασφαλείας, ακόμα κι αν έχει επισημανθεί ως κακόβουλος. Τα φίλτρα ασφαλείας που βασίζονται σε δίκτυο, τα οποία είναι σχεδιασμένα για παραδοσιακά μοτίβα κυκλοφορίας ιστού, αγωνίζονται να αναλύσουν αποτελεσματικά και να μπλοκάρουν τα αποκεντρωμένα μοτίβα που σχετίζονται με τις τεχνολογίες Web3. Η ανωνυμία που παρέχουν οι διευθύνσεις πορτοφολιών κρυπτονομισμάτων, σε συνδυασμό με το εξαιρετικά χαμηλό κόστος των συναλλαγών blockchain, επιτρέπει στους παράγοντες απειλών να επαναλάβουν τις τακτικές τους γρήγορα και να διατηρήσουν τις καμπάνιες επ’ αόριστον. Οι ερευνητές υπολόγισαν ότι για το UNC5142, η ενημέρωση μιας ολόκληρης αλυσίδας παράδοσης κακόβουλου λογισμικού κοστίζει μεταξύ 25 σεντς και 1,50 $ ανά συναλλαγή, δίνοντας σε αυτούς τους εισβολείς μια λειτουργική ευελιξία που ξεπερνά τη συμβατική υποδομή.
VIA: DataConomy.com
