朝鲜黑客利用区块链工具扩大全球网络攻击

摘要

• 朝鲜黑客正在利用区块链技术开发去中心化指令系统。
• 虚假工作机会是朝鲜网络攻击的常见策略。
• BeaverTail和OtterCookie等恶意软件被用于凭证盗窃。
• EtherHiding恶意软件在公共区块链上隐藏有效载荷以实现隐蔽。

根据思科塔洛斯(Cisco Talos)和谷歌威胁情报组(GTIG)的最新报告，与朝鲜有关联的黑客正在使用新型去中心化和规避性恶意软件工具增加其全球网络攻击。这些攻击活动通过虚假招聘计划针对个人和公司，旨在窃取加密货币、访问网络并逃避检测。研究人员警告说，使用基于区块链的指令系统使这些操作更难被干扰。

使用高级恶意软件扩展网络行动

思科塔洛斯已经确认了一个朝鲜威胁组织，被称为Famous Chollima，该组织不断发展其策略和工具。该组织被观察到使用两个相关的恶意软件家族，名为BeaverTail和OtterCookie，两者都是为了窃取凭证和收集敏感数据而开发的。这些更新的变种现在共享功能，提高了攻击期间的通信和效率。

在思科塔洛斯调查的一个案例中，当一名求职者被欺骗安装恶意程序作为虚假技术测试的一部分时，一个斯里兰卡组织间接受到影响。该恶意软件包括记录按键和截取屏幕的模块。收集的信息随后被发送到攻击者控制的远程服务器。研究人员表示，这种方法显示了即使组织不是直接目标，个人也可能被入侵。

区块链作为去中心化指令系统

谷歌威胁情报组报告称，一个与朝鲜有关联的行为者，被称为UNC5342，已经部署了一种名为EtherHiding的新型恶意软件。这种恶意软件在公共区块链上隐藏恶意JavaScript有效载荷。通过使用这种方法，攻击者构建了一个去中心化的命令和控制(C2)系统，这对当局来说很难移除。

根据GTIG的说法，EtherHiding允许攻击者远程修改恶意软件行为，而不依赖传统服务器。这种技术减少了被干扰的可能性，因为区块链数据不容易被删除。谷歌研究人员将这一操作与一个更广泛的名为Contagious Interview的活动联系起来，其中虚假工作机会被用来感染受害者。这些发现揭示了朝鲜组织正在整合去中心化技术，以在多个操作中保持持久性。

虚假招聘活动作为主要入口点

思科和谷歌都观察到，这些网络行动通常始于针对加密货币和网络安全行业专业人士的欺诈性职位发布。受害者被联系并提供所谓的面试机会，并被要求完成包含嵌入恶意软件文件的虚假评估。

感染涉及多种恶意软件家族，如JadeSnow、BeaverTail和InvisibleFerret，这些软件共同使攻击者能够窃取凭证、部署勒索软件并获得对系统的更深入访问。研究人员认为，这些活动既寻求经济利益，又寻求对企业环境的长期访问，以进行间谍活动和未来的利用。

防御措施和持续威胁

思科塔洛斯和谷歌已经发布了妥协指标(IOCs)，以帮助组织检测相关恶意活动。这些指标包括安全团队可用于监控和阻止与这些活动相关的可疑行为的技术标记。

分析师表示，社会工程和基于区块链的工具的结合正在为网络安全防御创造新的挑战。由于公共区块链不容易被控制或关闭，它们正成为寻求维持访问和隐藏其操作的威胁行为者的首选基础设施。

两家公司的研究人员继续跟踪这些活动，并与全球网络安全社区分享发现。他们建议组织仔细验证工作机会，限制招聘过程中的文件下载，并更新监控系统以检测不断发展的恶意软件家族，如BeaverTail、OtterCookie和EtherHiding。

这篇文章《朝鲜黑客使用区块链工具扩大全球网络攻击》首次发表于CoinCentral。