GTIG lưu ý rằng, đây là lần đầu tiên họ phát hiện một nhóm tin tặc được nhà nước hậu thuẫn sử dụng phương pháp này. Từng được công ty an ninh mạng Guardio (Israel) mô tả lần đầu tiên vào năm 2023, EtherHiding là một kỹ thuật phân phối phần mềm độc hại, trong đó các payload được nhúng trong các hợp đồng thông minh trên một Blockchain công khai (Binance Smart Chain hoặc Ethereum). Nhờ đó, kẻ tấn công có thể lưu trữ các tập lệnh độc hại và truy xuất chúng khi cần.

Với cách thức hoạt động của Blockchain, EtherHiding mang lại tính ẩn danh, khả năng chống lại các hành động gỡ bỏ và cho phép cập nhật payload linh hoạt, tất cả với chi phí rất thấp. Hơn nữa, việc truy xuất payload có thể thực hiện thông qua các lệnh gọi chỉ đọc mà không để lại lịch sử giao dịch, giúp tăng tính ẩn danh cho tiến trình.

Hoạt động của tin tặc Triều Tiên trên Blockchain

Cuộc tấn công thường bắt đầu thông qua các vòng phỏng vấn xin việc giả mạo, một dấu hiệu đặc trưng của chiến thuật tấn công kỹ nghệ xã hội của tin tặc Triều Tiên, từ các thực thể được tạo ra một cách cẩn thận (BlockNovas LLC, Angeloper Agency, SoftGlide LLC) nhắm vào các nhà phát triển phần mềm và web. Nạn nhân được yêu cầu đánh giá buổi phỏng vấn, tuy nhiên điều này sẽ âm thầm thực thi mã độc hại JavaScript.

Các nhà nghiên cứu cho biết, hợp đồng thông minh lưu trữ trình tải xuống JADESNOW tương tác với Ethereum để tải payload giai đoạn tiếp theo, đây là phiên bản JavaScript của mã độc InvisibleFerret thường được sử dụng cho hoạt động gián điệp. Phần payload chạy trong bộ nhớ và có thể yêu cầu Ethereum cung cấp một thành phần khác để đánh cắp thông tin đăng nhập.

Theo các nhà nghiên cứu, tin tặc có thể sử dụng JADESNOW để lấy dữ liệu từ Ethereum hoặc BNB Smart Chain, khiến việc phân tích trở nên khó khăn hơn. GTIG chia sẻ: “Thật bất thường khi thấy một tác nhân đe dọa sử dụng nhiều Blockchain cho hoạt động EtherHiding. Điều này có thể cho thấy sự phân chia hoạt động giữa các nhóm tin tặc của Triều Tiên”.

Chuỗi lây nhiễm

Phần mềm độc hại chạy ẩn và lắng nghe các lệnh đến từ máy chủ điều khiển và ra lệnh (C2) của kẻ tấn công, chẳng hạn như thực thi các lệnh tùy ý và đánh cắp các tệp ZIP đến máy chủ bên ngoài hoặc Telegram.

Thành phần đánh cắp thông tin đăng nhập nhắm vào mật khẩu, thẻ tín dụng và thông tin ví tiền điện tử (MetaMask và Phantom) được lưu trữ trên các trình duyệt web như Chrome và Edge.

Việc các tác nhân đe dọa từ Triều Tiên áp dụng EtherHiding là một bước phát triển đáng chú ý, gây ra sự phức tạp trong việc theo dõi chiến dịch. GTIG đề xuất quản trị hệ thống nên đặt ra các hạn chế tải xuống đối với các loại tệp nguy hiểm (.EXE, .MSI, .BAT, .DLL) trên Chrome Enterprise, nắm toàn quyền kiểm soát các bản cập nhật trình duyệt và đặt ra các chính sách nghiêm ngặt về truy cập web và thực thi tập lệnh.