แฮกเกอร์เกาหลีเหนือใช้ 'EtherHiding' ซ่อนมัลแวร์ใน Smart Contract บน Blockchain!
เจาะลึก 'EtherHiding' คืออะไร?
- กิจกรรมนี้ถูกระบุโดย Google Threat Intelligence Group (GTIG) ว่ามาจากกลุ่มภัยคุกคามที่พวกเขาติดตามในชื่อ UNC5342 ซึ่งเป็นที่รู้จักกันในชื่ออื่น ๆ อีกมากมาย เช่น CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, Gwisin Gang, Tenacious Pungsan และ Void Dokkaebi
- EtherHiding คือวิธีการที่แนบเนียนในการ ฝังโค้ดอันตรายไว้ใน Smart Contract บนเครือข่ายบล็อกเชนสาธารณะ เช่น BNB Smart Chain (BSC) หรือ Ethereum
- Google สังเกตเห็น UNC5342 เริ่มนำเทคนิคนี้มาใช้ตั้งแต่ เดือนกุมภาพันธ์ 2025 ซึ่งการทำแบบนี้เป็นการเปลี่ยนให้บล็อกเชนกลายเป็น "dead drop resolver" (จุดพักข้อมูลลับ) แบบกระจายศูนย์กลาง (decentralized) ที่ ทนทานต่อการถูกสั่งปิด (resilient to takedown) จากหน่วยงานบังคับใช้กฎหมาย
- นอกจากความทนทานแล้ว EtherHiding ยังใช้ประโยชน์จากลักษณะ นามแฝง (pseudonymous) ของธุรกรรมบล็อกเชน ทำให้ยากต่อการติดตามว่าใครเป็นผู้ปรับใช้ Smart Contract นั้น และยังยืดหยุ่นมากพอที่แฮกเกอร์สามารถ อัปเดตชุดคำสั่งมัลแวร์ (payload) ได้ตลอดเวลา (แม้จะมีค่า Gas fee เฉลี่ยประมาณ $1.37 ต่อครั้งก็ตาม) ซึ่งเปิดประตูสู่ภัยคุกคามที่หลากหลายมากขึ้น
แคมเปญ 'Contagious Interview' กับการโจมตีหลายขั้นตอน
คลื่นการโจมตีนี้เป็นส่วนหนึ่งของแคมเปญที่ดำเนินมาอย่างยาวนานชื่อว่า Contagious Interview โดยที่ผู้โจมตีจะ เข้าหาเหยื่อบน LinkedIn โดยแสร้งทำเป็นนักสรรหาบุคลากรหรือผู้จัดการการจ้างงาน และหลอกให้เหยื่อรันโค้ดที่เป็นอันตรายภายใต้ข้ออ้างของการ "ประเมินงาน" หลังจากเปลี่ยนบทสนทนาไปที่ Telegram หรือ Discord
เป้าหมายหลัก คือ:
- เข้าถึงเครื่องคอมพิวเตอร์ของนักพัฒนาโดยไม่ได้รับอนุญาต
- ขโมยข้อมูลที่ละเอียดอ่อน
- ดูดทรัพย์สินสกุลเงินดิจิทัล
ซึ่งสอดคล้องกับวัตถุประสงค์หลักของเกาหลีเหนือในการ จารกรรมทางไซเบอร์ และ แสวงหาผลประโยชน์ทางการเงิน
ห่วงโซ่การติดเชื้อ (Infection Chain) ที่ซับซ้อน
โรเบิร์ต วอลเลซ ผู้นำที่ปรึกษาจาก Mandiant, Google Cloud ให้ความเห็นว่า "การพัฒนานี้บ่งชี้ถึงความรุนแรงที่เพิ่มขึ้นในภูมิทัศน์ของภัยคุกคาม เนื่องจากผู้ก่อภัยคุกคามที่เป็นรัฐชาติกำลังใช้เทคนิคใหม่ ๆ ในการเผยแพร่มัลแวร์ที่ทนทานต่อการถูกสั่งปิด และสามารถปรับเปลี่ยนได้อย่างง่ายดายสำหรับแคมเปญใหม่ ๆ"
ห่วงโซ่การติดเชื้อที่ถูกกระตุ้นจากการโจมตีทางวิศวกรรมสังคมนี้เป็นกระบวนการหลายขั้นตอนที่สามารถมุ่งเป้าไปที่ระบบ Windows, macOS และ Linux ด้วยมัลแวร์สามตระกูลที่แตกต่างกัน:
- Initial Downloader: มาในรูปของแพ็กเกจ npm
- BeaverTail: มัลแวร์ขโมยข้อมูล (JavaScript stealer) ที่รับผิดชอบในการดึงข้อมูลที่ละเอียดอ่อน เช่น กระเป๋าสกุลเงินดิจิทัล ข้อมูลส่วนขยายของเบราว์เซอร์ และข้อมูลรับรอง (credentials)
JADESNOW: มัลแวร์ดาวน์โหลด (JavaScript downloader) ที่โต้ตอบกับ Ethereum เพื่อดึง InvisibleFerret
- InvisibleFerret: เป็นมัลแวร์ประเภทแบ็คดอร์ (backdoor) ที่เป็น JavaScript (ซึ่งเดิมเป็น Python) ถูกนำมาใช้กับเป้าหมายที่มีมูลค่าสูง เพื่ออนุญาตให้สามารถ ควบคุมโฮสต์ที่ถูกบุกรุกจากระยะไกล รวมถึงการขโมยข้อมูลในระยะยาวโดยมุ่งเป้าไปที่กระเป๋า MetaMask และ Phantom รวมถึงข้อมูลรับรองจากตัวจัดการรหัสผ่านอย่าง 1Password
สรุปการทำงานของมัลแวร์
กล่าวโดยสรุปคือ การโจมตีจะหลอกล่อให้เหยื่อรันโค้ดที่รันตัวดาวน์โหลด JavaScript เริ่มต้น ซึ่งจะโต้ตอบกับ Smart Contract BSC ที่เป็นอันตราย เพื่อดาวน์โหลด JADESNOW จากนั้น JADESNOW จะสืบค้นประวัติธุรกรรมที่เกี่ยวข้องกับที่อยู่ Ethereum เพื่อดึงชุดคำสั่งขั้นตอนที่สาม ซึ่งในกรณีนี้คือ InvisibleFerret เวอร์ชั่น JavaScript
มัลแวร์ยังพยายามติดตั้ง portable Python interpreter เพื่อเรียกใช้ส่วนประกอบขโมยข้อมูลรับรองเพิ่มเติมที่จัดเก็บไว้ที่อยู่ Ethereum อื่น ผลลัพธ์ที่ค้นพบนี้มีความสำคัญอย่างยิ่งเนื่องจากการที่กลุ่มภัยคุกคามใช้บล็อกเชนหลายตัวสำหรับกิจกรรม EtherHiding
Google กล่าวทิ้งท้ายว่า "EtherHiding แสดงถึงการเปลี่ยนแปลงไปสู่ 'bulletproof hosting' ยุคหน้า (บริการโฮสติ้งที่ทนทานต่อการถูกสั่งปิด) โดยที่ฟีเจอร์ที่มีอยู่ในเทคโนโลยีบล็อกเชนถูกนำมาใช้ในทางที่ผิด เทคนิคนี้เน้นย้ำถึงวิวัฒนาการอย่างต่อเนื่องของภัยคุกคามไซเบอร์ในขณะที่ผู้โจมตีปรับตัวและใช้ประโยชน์จากเทคโนโลยีใหม่ ๆ เพื่อความได้เปรียบของพวกเขา"
EtherHiding เป็นสัญญาณเตือนที่ชัดเจนว่าโลกไซเบอร์และบล็อกเชนกำลังเชื่อมโยงกันในรูปแบบที่อันตรายมากขึ้นครับ นักพัฒนาและผู้ที่เกี่ยวข้องกับคริปโตควรระมัดระวังเป็นพิเศษกับการสัมภาษณ์งานที่มาในรูปแบบแปลกๆ บนโซเชียลมีเดียนะครับ
#DRKRIT drkrit.com #กระแสไอที #ข่าวไอที #ไทยสมาร์ทซิตี้