朝鮮黑客突破極限：利用區塊鏈控制惡意軟件和竊取加密貨幣

根據思科Talos和谷歌威脅情報小組的最新發現(GTIG)，北朝鮮國家關聯的黑客組織正在利用去中心化的區塊鏈工具擴大其能力，這些工具使他們能夠隱藏惡意軟件、規避檢測並滲透全球目標。 這些網路活動主要集中在竊取加密貨幣、侵入企業網路以及進行復雜的社會工程詐騙——特別是旨在欺騙受害者安裝惡意軟件的虛假工作機會。

進化中的惡意軟件：BeaverTail 和 OtterCookie 學習新技巧 思科Talos的研究人員將最新的攻擊與北韓團體著名的朝鮮飛馬聯繫在一起，該團體以其長期的網路間諜活動和加密貨幣盜竊行動而聞名。

分析師發現了兩個互補的惡意軟件家族——BeaverTail 和 OtterCookie——它們已從傳統的憑證竊取工具演變爲能夠動態適應的模塊化、可互操作的系統。 在一起針對斯裏蘭卡組織的事件中，攻擊者誘使求職者下載僞裝成技術評估一部分的惡意軟件。

感染包括一個記錄鍵盤輸入和截屏的模塊，靜默記錄擊鍵和桌面活動，然後將數據傳輸到遠程命令服務器。 專家表示，這反映出一個更廣泛的轉變：朝鮮黑客越來越多地針對個人，而不是系統，結合心理操控與先進的網路工具。

區塊鏈作爲新的指揮基礎設施 攻擊者現在利用區塊鏈作爲去中心化控制網路，而不是依賴傳統的集中式指揮服務器(C2)。 谷歌的GTIG團隊發現了一個由與北朝鮮相關的組織UNC5342發起的活動，該組織部署了一種名爲EtherHiding的新型惡意軟件。這款程序直接在公共以太坊區塊鏈上存儲惡意JavaScript載荷，將其轉變爲一個去中心化且幾乎無法停止的指揮控制系統。 通過使用區塊鏈，黑客可以遠程改變惡意軟件的行爲，而無需托管服務器，這使得執法部門的打擊變得更加困難。

GTIG 報告稱，EtherHiding 被用於“傳染性訪談”活動——首次由 Palo Alto Networks 識別——該活動針對加密和網路安全行業的專業人士。

虛假工作邀請作爲主要攻擊向量 根據谷歌的研究，這些網路操作通常始於針對加密開發者、區塊鏈工程師和網路安全專業人士的虛假招聘信息。

受害者被指示完成一個“技術測試”，該測試會祕密地在他們的設備上安裝惡意軟件。 感染鏈通常涉及多個惡意軟件家族，包括JadeSnow、BeaverTail和InvisibleFerret——這些工具旨在竊取憑證、部署勒索軟體並進行長期間諜活動。 最終目標：獲取對內部系統、加密錢包和戰略公司數據的訪問權限。

思科和谷歌發布了妥協指標 兩家公司發布了妥協指標(IOCs)，以幫助組織檢測和響應與朝鮮相關的持續活動。

這些技術報告包括可以集成到安全系統中的哈希值、域和IP地址，以便進行主動防御。 專家警告說，將區塊鏈整合到惡意軟件基礎設施中標志着全球網路戰爭的一個轉折點。 “去中心化正成爲一把雙刃劍——自由的工具和網路犯罪分子的武器，”GTIG報告指出。

摘要 朝鮮威脅行爲者通過區塊鏈技術、社會工程學和模塊化惡意軟件框架重新定義現代網路攻擊。

通過使用去中心化網路進行惡意軟件控制，他們創建了具有彈性、不可追蹤的攻擊系統，這對傳統網路安全模型構成了挑戰。 分析師敦促科技和加密行業的公司在招聘過程中保持謹慎，並更新他們對這些新型適應性威脅的防御。

#northkorea , #黑客警報 , #CyberSecurity , #加密黑客 , #加密新聞

保持領先一步 - 關注我們的個人資料，隨時了解加密貨幣世界中的一切重要信息！ 通知： ,本文中提供的信息和觀點僅用於教育目的，不應在任何情況下視爲投資建議。這些頁面的內容不應被視爲財務、投資或任何其他形式的建議。我們提醒您，投資加密貨幣可能存在風險，並可能導致財務損失。“