اعتمد المهاجمون من كوريا الشمالية على تقنية تعتمد على blockchain تسمى EtherHiding لتقديم البرامج الضارة المصممة لسرقة العملات المشفرة بما في ذلك XRP.
ملخص
- يقوم المتسللون بتضمين تعليمات برمجية خبيثة في العقود الذكية لسرقة XRP وغيرها من العملات المشفرة.
- تتجنب EtherHiding عمليات الإزالة من خلال استضافة البرامج الضارة على سلاسل الكتل اللامركزية.
- يخدع المجندون الوهميون المطورين لتثبيت البرامج الضارة أثناء مقابلات العمل.
وفقًا لمجموعة Threat Intelligence Group التابعة لشركة Google ، فهذه هي المرة الأولى التي تلاحظ فيها GTIG جهة فاعلة تابعة لدولة قومية تستخدم هذه الطريقة.
تقوم الطريقة بتضمين حمولات JavaScript ضارة داخل عقود blockchain الذكية لإنشاء خوادم تحكم وقيادة مرنة.
تستهدف تقنية EtherHiding المطورين في قطاعي العملات المشفرة والتكنولوجيا من خلال حملات الهندسة الاجتماعية التي يتم تعقبها باسم "المقابلة المعدية".
أدت الحملة إلى العديد من عمليات سرقة العملات المشفرة التي أثرت على حاملي XRP ( XRP ) ومستخدمي الأصول الرقمية الأخرى.
البنية التحتية للهجوم القائمة على تقنية البلوكشين تتجنب الكشف
يقوم EtherHiding بتخزين التعليمات البرمجية الضارة على سلاسل الكتل اللامركزية وغير المسموح بها ويزيل الخوادم المركزية التي يمكن لشركات إنفاذ القانون أو الأمن السيبراني إزالتها.
يمكن للمهاجمين الذين يتحكمون في العقود الذكية تحديث الحمولات الضارة في أي وقت والحفاظ على الوصول المستمر إلى الأنظمة المخترقة.
يمكن للباحثين الأمنيين وضع علامة على العقود باعتبارها خبيثة على أجهزة مسح blockchain مثل BscScan، لكن النشاط الخبيث يستمر بغض النظر عن هذه التحذيرات.
يصف تقرير Google EtherHiding بأنه "تحول نحو استضافة مضادة للرصاص من الجيل التالي" حيث تعمل ميزات تقنية blockchain على تمكين الأغراض الخبيثة.
عندما يتفاعل المستخدمون مع المواقع المخترقة، يتم تنشيط الكود لسرقة XRP والعملات المشفرة الأخرى والبيانات الحساسة.
تتواصل المواقع الإلكترونية المُخترقة مع شبكات بلوكتشين باستخدام وظائف القراءة فقط، مما يُجنّب إنشاء معاملات دفترية. وهذا يُقلّل من رسوم الكشف والمعاملات.
الهندسة الاجتماعية المتطورة
تتمحور حملة المقابلة المعدية حول تكتيكات الهندسة الاجتماعية التي تحاكي عمليات التوظيف المشروعة من خلال المجندين المزيفين والشركات المصطنعة.
يجذب المجندون الوهميون المرشحين إلى منصات مثل Telegram أو Discord، ثم يسلمون البرامج الضارة من خلال اختبارات الترميز الخادعة أو تنزيلات البرامج المزيفة المقنعة في شكل تقييمات فنية.
تستخدم الحملة عدوى البرامج الضارة متعددة المراحل، بما في ذلك المتغيرات JADESNOW وBEAVERTAIL وINVISIBLEFERRET التي تؤثر على أنظمة Windows وmacOS وLinux.
يعتقد الضحايا أنهم يشاركون في مقابلات عمل مشروعة بينما يقومون دون علمهم بتنزيل برامج ضارة مصممة للحصول على وصول مستمر إلى شبكات الشركات وسرقة مقتنيات العملات المشفرة.
