北韓駭客利用區塊鏈工具擴大全球網絡攻擊

TLDR

• 北韓駭客正在利用區塊鏈技術開發去中心化指令系統。
• 假求職機會是北韓網絡攻擊的常見策略。
• 像 BeaverTail 和 OtterCookie 這樣的惡意軟件被用於憑證盜竊。
• EtherHiding 惡意軟件在公共區塊鏈上隱藏有效載荷以實現隱蔽。

根據 Cisco Talos 和 Google 威脅情報小組（GTIG）的最新報告，與北韓有關的駭客正在使用新型去中心化和規避性惡意軟件工具增加其全球網絡攻擊。這些攻擊活動通過虛假招聘計劃針對個人和公司，旨在竊取加密貨幣、訪問網絡並逃避檢測。研究人員警告說，使用基於區塊鏈的指令系統正使這些操作更難被干擾。

使用先進惡意軟件擴展網絡行動

Cisco Talos 已識別出一個北韓威脅組織，被稱為 Famous Chollima，該組織不斷發展其策略和工具。該組織被觀察到使用兩個相關的惡意軟件家族，名為 BeaverTail 和 OtterCookie，兩者都是為了竊取憑證和收集敏感數據而開發的。這些更新的變體現在共享功能，可在攻擊期間提高通信和效率。

在 Cisco Talos 調查的一個案例中，當一名求職者被欺騙安裝惡意程序作為虛假技術測試的一部分時，一個斯里蘭卡組織間接受到影響。該惡意軟件包括記錄按鍵和截取屏幕的模塊。收集的信息隨後被發送到攻擊者控制的遠程服務器。研究人員表示，這種方法顯示即使組織不是直接目標，個人也可能受到危害。

區塊鏈作為去中心化指令系統

Google 的威脅情報小組報告說，一個與北韓有關的行為者，被稱為 UNC5342，已部署了一種名為 EtherHiding 的新型惡意軟件。這種惡意軟件在公共區塊鏈上隱藏惡意 JavaScript 有效載荷。通過使用這種方法，攻擊者建立了一個去中心化的指令和控制（C2）系統，當局難以移除。

根據 GTIG 的說法，EtherHiding 允許攻擊者遠程修改惡意軟件行為，而不依賴傳統服務器。這種技術降低了被干擾的可能性，因為區塊鏈數據不容易被取下。Google 研究人員將這一操作與一個更廣泛的名為 Contagious Interview 的活動聯繫起來，其中假求職機會被用來感染受害者。這些發現揭示了北韓組織正在整合去中心化技術以在多個操作中保持持久性。

虛假招聘活動作為主要入口點

Cisco 和 Google 都觀察到，這些網絡操作通常始於針對加密貨幣和網絡安全行業專業人士的欺詐性職位發布。受害者被聯繫並收到所謂的面試邀請，並被要求完成包含嵌入惡意軟件文件的虛假評估。

感染涉及多種惡意軟件家族，如 JadeSnow、BeaverTail 和 InvisibleFerret，它們共同使攻擊者能夠竊取憑證、部署勒索軟件並獲得對系統的更深入訪問。研究人員認為，這些活動既尋求經濟利益，又尋求對企業環境的長期訪問，以進行間諜活動和未來的利用。

防禦措施和持續威脅

Cisco Talos 和 Google 已發布妥協指標（IOCs）以幫助組織檢測相關惡意活動。這些指標包括安全團隊可用於監控和阻止與這些活動相關的可疑行為的技術標記。

分析師表示，社會工程和基於區塊鏈的工具的結合正在為網絡安全防禦創造新的挑戰。由於公共區塊鏈不容易被控制或關閉，它們正成為尋求維持訪問和隱藏其操作的威脅行為者的首選基礎設施。

兩家公司的研究人員繼續追踪這些活動並與全球網絡安全社區分享發現。他們建議組織仔細驗證求職機會，限制招聘過程中的文件下載，並更新監控系統以檢測不斷發展的惡意軟件家族，如 BeaverTail、OtterCookie 和 EtherHiding。

北韓駭客使用區塊鏈工具擴大全球網絡攻擊的文章首次發表於 CoinCentral。