Nordkoreanische Bedrohungsakteure und EtherHiding
Nordkoreanische Bedrohungsakteure haben eine blockchain-basierte Technik namens EtherHiding übernommen, um Malware zu verbreiten, die darauf abzielt, Kryptowährungen wie XRP zu stehlen. Laut der Threat Intelligence Group von Google ist dies das erste Mal, dass ein staatlicher Akteur diese Methode verwendet.
Technik und Zielgruppe
Die Technik bettet bösartige JavaScript-Payloads in Smart Contracts der Blockchain ein, um widerstandsfähige Command-and-Control-Server zu schaffen. Die EtherHiding-Technik richtet sich an Entwickler im Bereich Kryptowährung und Technologie durch Social-Engineering-Kampagnen, die als „Contagious Interview“ bezeichnet werden. Diese Kampagne hat zu zahlreichen Krypto-Diebstählen geführt, die XRP-Inhaber und Nutzer anderer digitaler Vermögenswerte betreffen.
EtherHiding speichert bösartigen Code auf dezentralen und genehmigungsfreien Blockchains und entfernt zentrale Server, die von Strafverfolgungsbehörden oder Cybersicherheitsfirmen abgeschaltet werden könnten. Angreifer, die Smart Contracts kontrollieren, können bösartige Payloads jederzeit aktualisieren und so einen dauhaften Zugriff auf kompromittierte Systeme aufrechterhalten.
Herausforderungen für Sicherheitsforscher
Sicherheitsforscher können Verträge auf Blockchain-Scannern wie BscScan als bösartig kennzeichnen, jedoch setzen sich die bösartigen Aktivitäten unabhängig von diesen Warnungen fort. Der Bericht von Google beschreibt EtherHiding als einen „Wandel hin zu next-generation bulletproof hosting“, bei dem die Funktionen der Blockchain-Technologie bösartigen Zwecken dienen.
Wenn Benutzer mit kompromittierten Websites interagieren, wird der Code aktiviert, um XRP, andere Kryptowährungen und sensible Daten zu stehlen. Die kompromittierten Websites kommunizieren mit Blockchain-Netzwerken unter Verwendung von schreibgeschützten Funktionen, die das Erstellen von Ledger-Transaktionen vermeiden. Dies minimiert sowohl die Erkennung als auch die Transaktionsgebühren.
Die Contagious Interview-Kampagne
Die Contagious Interview-Kampagne konzentriert sich auf Social-Engineering-Taktiken, die legitime Rekrutierungsprozesse durch gefälschte Recruiter und erfundene Unternehmen nachahmen. Gefälschte Recruiter locken Kandidaten auf Plattformen wie Telegram oder Discord und liefern dann Malware durch irreführende Codierungstests oder gefälschte Software-Downloads, die als technische Bewertungen getarnt sind.
Die Kampagne verwendet eine mehrstufige Malware-Infektion, einschließlich Varianten von JADESNOW, BEAVERTAIL und INVISIBLEFERRET, die Windows-, macOS- und Linux-Systeme betreffen. Die Opfer glauben, an legitimen Vorstellungsgesprächen teilzunehmen, während sie unwissentlich Malware herunterladen, die darauf ausgelegt ist, dauhaften Zugriff auf Unternehmensnetzwerke zu erlangen und Kryptowährungsbestände zu stehlen.
