• اخبار ارز دیجیتال
  • هک‌های مبتنی بر بلاک‌چین: گروه‌های کره‌شمالی بدافزارها را در قراردادهای هوشمند پنهان می‌کنند

هک‌های مبتنی بر بلاک‌چین: گروه‌های کره‌شمالی بدافزارها را در قراردادهای هوشمند پنهان می‌کنند

Profile Picture
هک‌های مبتنی بر بلاک‌چین: گروه‌های کره‌شمالی بدافزارها را در قراردادهای هوشمند پنهان می‌کنند
0

هک‌های مبتنی بر بلاک‌چین: گروه‌های کره‌شمالی بدافزارها را در قراردادهای هوشمند پنهان می‌کنند

به گزارش مالی3، محققان امنیت سایبری شرکت‌های Cisco Talos و Google Threat Intelligence هشدار داده‌اند که گروه‌های هکری مرتبط با کره شمالی روش‌های جدید و پیچیده‌ای را برای اجرای کمپین‌های سایبری جهانی به کار می‌گیرند؛ از جمله پنهان‌سازی بارهای مخرب در قراردادهای هوشمند بلاک‌چین و بهره‌گیری از آگهی‌های شغلی جعلی برای جلب و آلوده‌سازی قربانیان.

toobit

چکیدهٔ خبر

  • پژوهشگران دو مؤسسه بزرگ امنیت سایبری گزارش داده‌اند که گروه‌هایی همچون Famous Chollima و عمله‌ای شناسایی‌شده با برچسب UNC5342 با بدافزارهایی مثل BeaverTail، OtterCookie، JadeSnow و InvisibleFerret عملیات می‌کنند.

  • یک تکنیک نوظهور موسوم به «EtherHiding» بارهای مخرب جاوااسکریپتی را در قراردادهای هوشمند روی شبکه‌هایی مانند BNB Smart Chain و اتریوم جاسازی می‌کند و این قراردادها عملاً به عنوان شبکه‌های فرمان‌و‌ کنترل (C2) غیرمتمرکز عمل می‌کنند.

  • روش اجرای حملات معمولاً با انتشار آگهی‌های شغلی جعلی آغاز می‌شود؛ از قربانی خواسته می‌شود در ارزیابی فنی شرکت کند و در نهایت فایل‌های آلوده را دانلود کند.

شرح جزئیات

محققان Cisco Talos گزارش داده‌اند که گروه مشهور کره‌شمالی Famous Chollima از ماژول‌های جدیدی به نام‌های BeaverTail و OtterCookie بهره می‌برد. این ماژول‌ها علاوه بر سرقت اعتبارنامه‌ها، قابلیت‌های کی‌لاگر و گرفتن اسکرین‌شات را نیز دارند؛ داده‌هایی که به‌صورت خودکار به سرورهای فرمان ارسال می‌شوند. در یکی از حملات اخیر، فردی در سریلانکا به‌طور فنی فریب خورد و افزونه‌ای را نصب کرد که ظاهراً بخشی از «ارزیابی فنی» بوده است؛ پس از نصب، کی‌لاگینگ و ثبت تصویری از دسکتاپ قربانی آغاز شد.

toobit

از سوی دیگر، تیم تحلیل تهدید گوگل (GTIG) نوع دیگری از عملیات را شناسایی کرده است که بدافزاری به نام EtherHiding را به کار می‌گیرد. در این روش، مهاجمان بارهای مخرب جاوااسکریپت را داخل قراردادهای هوشمند عمومی جاسازی می‌کنند و از آن‌ها به عنوان یک زیرساخت فرمان‌وکنترل غیرمتمرکز استفاده می‌کنند. این روش شناساییِ سرور فرمان را دشوار می‌سازد زیرا کد مخرب در رکوردهای بلاک‌چین عمومی پنهان شده است.

روش هدف‌گیری و انگیزه‌ها

تحقیقات نشان می‌دهد که مهاجمان اغلب با انتشار آگهی‌های شغلی تقلبی در حوزه رمزارز و امنیت سایبری، افراد واجد صلاحیت را هدف می‌گیرند. متقاضیان تشویق می‌شوند در «آزمون‌های فنی» شرکت کنند و فایل‌هایی را دانلود یا اجرا نمایند که در واقع حامل بدافزارهایی مانند JadeSnow، BeaverTail و InvisibleFerret هستند. پس از نفوذ، هدف سرقت رمزارز، سرقت اطلاعات محرمانه و ایجاد دسترسی طولانی‌مدت به شبکه‌های سازمانی عنوان شده است.

ابعاد فنی و شبکه‌ای

گزارش‌ها اشاره می‌کنند که مهاجمان از بسته‌های مخرب Node.js و ماژول‌های جاوااسکریپت بهره می‌برند تا بدافزارها را به‌صورت توزیع‌شده و کم‌هیاهو منتشر کنند. همچنین استفاده از بلاک‌چین به عنوان لایهٔ فرمان‌وکنترل این امکان را می‌دهد که بدافزارها بدون نیاز به زیرساخت‌های سروری سنتی به‌روز شوند یا دستورات جدید دریافت کنند — مسئله‌ای که مقابله با آن را برای نهادهای امنیتی پیچیده‌تر می‌کند.

نمونه‌ها و شاخص‌های معاملاتی (IOCs)

محققان Cisco و Google شاخص‌های مصالحه (Indicator of Compromise) مرتبط با این کمپین‌ها را منتشر کرده‌اند تا سازمان‌ها بتوانند فعالیت‌های مخرب را شناسایی و مسدود کنند. این IOCs شامل دامنه‌ها، آدرس‌های کیف‌پول، امضاهای فایل و مسیرهای نصب مرتبط با ماژول‌های ذکرشده می‌شود.

پیامدها و توصیه‌ها

تحلیلگران امنیتی هشدار می‌دهند که ترکیب بدافزارهای مدولار و استفاده از زنجیره‌های عمومی می‌تواند تلاش‌های دفاعی را در سطح جهانی پیچیده کند. آنها سازمان‌ها و کاربران را تشویق می‌کنند که:

  • در مواجهه با آگهی‌های شغلی آنلاین احتیاط کنند و هر فایل اجرایی را پیش از اجرا در محیط ایزوله بررسی کنند؛

  • از احراز هویت چندعاملی (MFA) برای محافظت از حساب‌ها استفاده نمایند؛

  • نرم‌افزارها و کتابخانه‌ها را از منابع معتبر تهیه کنند و بسته‌های Node.js مشکوک را بررسی کنند؛

  • شاخص‌های مصالحه منتشرشده توسط Cisco Talos و Google را در سیستم‌های تشخیص نفوذ و آنتی‌ویروس خود وارد کنند.

بیانیه منابع

گزارش‌های مرجع این خبر بر پایهٔ یافته‌های Cisco Talos و Google Threat Intelligence است و خلاصه‌ای از آن نیز در منابعی مانند BeInCrypto منتشر شده است. محققان اعلام کرده‌اند که روند استفاده از تکنیک‌های مبتنی بر بلاک‌چین در حملات سایبری رو به افزایش است و سازمان‌ها باید آمادگی و توان دفاعی خود را ارتقا دهند.

ترکیب مهندسی اجتماعیِ هدفمند، بدافزارهای ماژولار و بهره‌گیری از زیرساخت‌های توزیع‌شدهٔ بلاک‌چین، نشان می‌دهد که بازیگران تهدید در حال حرکت به سمت روش‌هایی هستند که تشخیص و مقابله با آن‌ها را برای تیم‌های امنیتی سخت‌تر می‌سازد. نشر شاخص‌های فنی و افزایش آگاهی کاربران، مهم‌ترین گام‌های کوتاه‌مدت برای کاهش اثر این حملات عنوان شده‌اند.

مشاهده بیشتر

اشتراک گذاری

Profile Picture
نوشته شده توسط:

ارمان محمدی

یونی‌سواپ از شبکه سولانا پشتیبانی می‌کند؛ سرعت و کارایی معاملات افزایش یافت
صرافی Lighter برای جبران خسارات کاربران امتیاز جبرانی توزیع می‌کند

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *