朝鲜威胁组织将区块链转变为恶意软件分发服务器

国家支持的黑客组织和网络犯罪分子正日益滥用加密货币区块链来托管恶意载荷，这种被称为"EtherHiding"的技术使他们的攻击更难被检测和清除。

“谷歌威胁情报小组观察到朝鲜威胁组织UNC5342使用’EtherHiding’技术分发恶意软件并促进加密货币盗窃——这是GTIG首次观察到国家行为者采用这种方法，“谷歌研究人员在一份新报告中写道。

虽然这是首次报道国家支持的黑客组织使用EtherHiding技术，但谷歌观察到网络犯罪组织UNC5142在过去一年中一直在使用和改进该技术，该组织通过入侵WordPress网站向访问者分发信息窃取程序。

技术原理：利用智能合约作为C2服务器

该技术利用智能合约，这些合约就像存储在区块链上的程序，在触发时执行代码。攻击者已学会将这些智能合约用作命令与控制服务器，在满足特定条件后执行合约时返回恶意载荷。

弹性和去中心化的C2基础设施

以这种方式滥用智能合约的一个明显好处是它们具有不可变性。与在租用或被入侵的服务器上托管恶意软件相比，安全公司或执法机构很难清除智能合约，因为加密货币区块链在设计上是高度去中心化的。

为了增加难度，攻击者使用多个相互引用的智能合约链，并对载荷进行加密，使其不易被扫描工具检测到。

“本质上，EtherHiding代表了向下一代防弹托管服务的转变，区块链技术的固有特性被重新用于恶意目的，“谷歌研究人员表示。“这种技术强调了网络威胁的持续演变，攻击者不断适应并利用新技术来获得优势。”

在朝鲜虚假招聘活动中的应用

与其他国家行为者不同，朝鲜APT组织除了进行网络间谍活动外，还以进行网络犯罪活动而闻名，因为他们的目标包括为政权筹集资金。

他们实现这一目标的方式之一是从公司和个人那里窃取加密货币。据估计，在2017年至2023年间，朝鲜通过加密货币盗窃获得了17亿美元。

这也是UNC5342组织的任务，该组织一直在LinkedIn和招聘网站上进行社会工程活动，用虚假的工作申请引诱软件开发人员。

虚假招聘人员将与候选人的对话转移到Discord或Telegram，并要求他们进行技术评估，涉及从GitHub下载被污染的代码仓库。在其他变体中，候选人被邀请参加视频面试，然后显示ClickFix类型的错误消息，要求他们下载软件来修复问题。

第一阶段的恶意软件通常是托管在恶意npm仓库中的恶意JavaScript代码。其目的是下载和部署第二阶段的特洛伊木马，窃取加密货币钱包、浏览器扩展数据和本地存储的凭据。GTIG将这个第一阶段恶意软件称为JADESNOW下载器。

“JADESNOW利用EtherHiding从BNB智能链和以太坊上的智能合约中获取、解密和执行恶意载荷，“研究人员表示。“存储在智能合约中的输入数据可能是Base64编码和XOR加密的。JADESNOW感染链中的最终载荷通常是更持久的后门，如INVISIBLEFERRET.JAVASCRIPT。”

此外，INVISIBLEFERRET后门的代码可能分布在不同的智能合约中，执行时可能会下载存储在不同区块链地址的额外载荷，例如基于Python的信息窃取程序。

ClickFix活动

UNC5142网络犯罪组织自2023年以来就因分发信息窃取程序而闻名，他们在被入侵网站上向访问者显示虚假的Google Chrome更新弹窗。这些虚假的浏览器更新弹窗是通过ProofPoint研究人员先前称为CLEARFAKE的恶意JavaScript框架生成的。

谷歌研究人员跟踪了这个框架的演变，他们称之为CLEARSHORT，它从部署在BNB智能链上的智能合约下载额外的恶意载荷。

“CLEARSHORT登录页面利用ClickFix，这是一种流行的社会工程技术，旨在诱使受害者使用Windows运行对话框本地运行恶意命令，“研究人员表示。

UNC5142主要针对WordPress网站。谷歌已跟踪到超过14,000个显示被UNC5142入侵迹象的网页，该组织将其恶意代码注入现有的WordPress插件、主题或数据库中。

恶意CLEARSHORT代码利用Web3.js库，该库允许通过不同的基于Web的协议与以太坊节点交互。该库用于通过公共节点连接到BNB智能链。

UNC5142对智能合约的使用随着时间的推移而演变，从将载荷存储在单个合约中，到现在将不同的攻击组件分成三个独立的合约，使得攻击的不同部分可以单独升级。

“这种新架构是对合法软件设计原则的适应，称为代理模式，开发人员使用它来使其合约可升级，“研究人员表示。“一个稳定、不可更改的代理将调用转发到可单独替换的第二级合约，以修复错误或添加功能。”