Noord-Koreaanse hackers doen EtherHiding: malware verborgen op Blockchain

Dit is de eerste keer dat Google heeft waargenomen dat een natiestaat deze methode adopteert. EtherHiding maakt van de blockchain in feite een gedecentraliseerde en "kogelvrije" Command-and-Control (C2) server die niet kan worden uitgeschakeld door conventionele takedown-acties.

Hoe EtherHiding werkt

EtherHiding kwam in september 2023 voor het eerst in beeld bij financiële criminelen (zoals de groep UNC5142, bekend van de CLEARFAKE-campagne). De techniek maakt gebruik van de onveranderlijke aard van smart contracts op een blockchain.

1. Opslag van malware: Aanvallers slaan Base64-gecodeerde en XOR-versleutelde malware binnen een smart contract op de blockchain op.
2. Loader script: Na een initiële inbraak (via social engineering of gecompromitteerde websites) wordt een klein JavaScript 'loader' op het systeem van het slachtoffer geïnjecteerd.
3. Stealthy oproep: Dit loader script communiceert met de blockchain via een lees-alleen functie (eth_call). Dit is cruciaal: de aanval leest de malware uit het smart contract zonder een blockchain-transactie aan te maken en zonder gas fees te betalen, waardoor de operatie extreem moeilijk te traceren is.
4. Payload executie: De opgehaalde payload, in het geval van Noord-Korea vaak de downloader JADESNOW, wordt in het geheugen uitgevoerd. JADESNOW haalt vervolgens de uiteindelijke achterdeur, INVISIBLEFERRET.JAVASCRIPT, op.

De grootste kracht voor aanvallers is de decentralisatie en onveranderlijkheid. Aangezien de code op een publieke blockchain staat, is er geen centrale server om te blokkeren of neer te halen.

Noord-Koreaanse Social Engineering-tactieken

De adoptie van EtherHiding door UNC5342 maakt deel uit van een geraffineerde, lopende sociale engineering-campagne die zich richt op ontwikkelaars in de crypto- en technologiesector. Het dubbele doel van deze campagne is: financiële diefstal (om sancties te omzeilen) en spionage.

De aanval wordt uitgevoerd door:

• Valse wervingspraktijken: De hackers creëren overtuigende, maar frauduleuze, profielen op platforms zoals LinkedIn en doen zich voor als recruiters van bekende techbedrijven.
• De malafide opdracht: Slachtoffers worden uitgenodigd voor een technisch interview, waarbij ze worden gevraagd een schijnbaar onschuldige codeeropdracht uit te voeren. Het downloaden van de bijbehorende bestanden van repositories zoals GitHub bevat in werkelijkheid de kwaadaardige JADESNOW-downloader.
• Dubbele achterdeur: JADESNOW gebruikt vervolgens EtherHiding om de achterdeur INVISIBLEFERRET te installeren. Deze Python-gebaseerde backdoor geeft de aanvallers langdurige toegang. Vervolgcomponenten stelen wachtwoorden, cookies en creditcards uit browsers en viseren specifiek populaire cryptocurrency wallets zoals MetaMask en Phantom.

Opmerkelijk is dat UNC5342 gebruik maakt van meerdere blockchains (Ethereum én BNB Smart Chain) en API-serviceproviders om de payload op te halen. Dit toont een hoge mate van operationele compartimentering en verhoogt de complexiteit voor analisten.

Oplossingen en aanbevelingen

Hoewel de code zelf niet van de blockchain kan worden verwijderd, wijst Google Threat Intelligence op een kwetsbaarheid: de aanvallers gebruiken gecentraliseerde API-diensten (zoals Blockchair of Ethplorer) om de informatie van de blockchain te lezen, in plaats van rechtstreeks met de nodes te communiceren.

Voor bedrijven: Beheerders van Chrome Enterprise kunnen het aanvalspad van EtherHiding effectief doorbreken.

• Downloads blokkeren: Stel het DownloadRestrictions-beleid in om gevaarlijke bestandstypen zoals .exe of .dll automatisch te blokkeren, waardoor de payload de computer van het slachtoffer niet kan bereiken.
• Updates beheren: Omdat AI-code-assistenten vaak valse 'Update Chrome'-pop-ups gebruiken, moeten beheerders updates automatiseren en medewerkers trainen dat ze nooit handmatig gevraagd zullen worden Chrome te updaten.

Deze strategie verschuift de beveiliging van de gebruiker naar een centraal en geautomatiseerd systeem, wat cruciaal is in de strijd tegen deze nieuwe generatie onuitroeibare cyberdreigingen.