Северокорейские хакеры используют EtherHiding, скрывая вредоносное ПО в смарт-контрактах Ethereum и BNB Smart Chain
Последние технологические инновации часто становятся палкой о двух концах. Пока мир восхищается потенциалом децентрализованных финансов и блокчейнов, хакеры видят в них идеальное укрытие и возможность действовать. Аналитики Google Threat Intelligence Group бьют тревогу. Северокорейская шпионская группа Kimsuky, также известная как APT43, начала использовать публичные блокчейны для размещения вредоносного ПО.
EtherHiding — это следующий шаг в эволюции киберугроз, использующий фундаментальную особенность децентрализованных финансов — необратимость — для создания практически неуязвимой инфраструктуры управления и контроля для вредоносных программ.
Атака PixNapping на Android позволяет украсть коды 2FA без специальных разрешений путем манипулирования скриншотами
Новый метод распространения вредоносного ПО, названный специалистами Google EtherHiding, предполагает использование смарт-контрактов на публичных блокчейнах, чаще всего BNB Smart Chain или Ethereum, для сокрытия зашифрованных фрагментов вредоносного кода. Такое нестандартное расположение ставит защитников в очень сложную ситуацию. Хакеры, подобные участникам группы Кимсуки, сначала заражают жертву, используя стандартную социальную инженерию, часто выдавая себя за фальшивые обновления браузера или заманивая жертву фальшивыми предложениями о работе, что является их любимым способом атак. Исходный погрузчикнебольшой безобидный скрипт, размещенный на взломанном веб-сайте или в, казалось бы, невинном файле, имеет только одну задачу: подключиться к сети блокчейна. И вот тогда происходит революция.
Ваша игровая мышь может вас подслушивать. Датчики PixArt PAW3395 и PAW3399 угрожают конфиденциальности пользователей
В отличие от старых методов, когда зарядное устройство подключалось к централизованному серверу управления и контроля с известным IP-адресом, который можно было легко заблокировать, в EtherHiding зарядное устройство ссылается непосредственно на автономный смарт-контракт. Этот контракт рассматривается как хранилище данных, в нем хранятся зашифрованные блоки фактической полезной нагрузки. При вызове сценария жертвы контракт возвращает данные, которые затем собираются и расшифровываются на компьютере пользователя, создавая готовое к запуску вредоносное ПО (часто инфокрады или бэкдоры, такие как JADESNOW или INVISIBLEFERRET). Это как если бы хакеры вместо того, чтобы спрятать ключ в скрытом почтовом ящике, разместили его на общедоступной доске объявлений, которую никто не сможет удалить и которая к тому же копируется в тысячах мест по всему миру.
Microsoft подтверждает эксплуатацию CVE-2025-10035 нулевого дня в GoAnywhere MFT хакерами с максимальным баллом угрозы 10,0
Что это значит для пользователя? Прежде всего, эта новинка представляет собой значительную эволюцию в сторону иммунитета, так называемый пуленепробиваемый хостинг нового поколения. Предыдущие кампании Кимсуки включали злонамеренное использование таких сайтов, как Dropbox и GitHub, которые могли (и часто были) заблокированы при обнаружении. В случае с блокчейном децентрализованный характер сети означает, что смарт-контракт не может быть удален или заблокирован, поскольку его IP-адрес не присвоен какому-либо IP-адресу. Единственный способ остановить угрозу — уничтожить весь блокчейн, что практически невозможно. Чем новый продукт отличается от конкурентов? Это огромный прогресс в сокрытии C&C. В то время как другие группы APT по-прежнему полагаются на временные домены и скомпрометированные серверы, Kimsuky гарантирует практически постоянную доступность своей инфраструктуры распространения. Долгосрочные последствия очевидны. Хотя традиционные механизмы защиты сети, направленные на блокировку доменов и IP-адресов, беспомощны, единственным эффективным барьером остается пользователь. По сути, EtherHiding заставляет системы безопасности сосредоточиться исключительно на заключительном этапе атаки, который блокирует реальный сложный исполняемый файл и предотвращает социальную инженерию, которая инициирует всю последовательность действий. Это означает перенесение бремени борьбы на поведенческий анализ и тщательное обучение пользователей.
Источник: Блог Google Cloud.
