Kuzey Koreli tehdit aktörlerinin, kötü amaçlı yazılımları dağıtmak ve kripto para birimi hırsızlığını kolaylaştırmak için blockchain teknolojisinden yararlanan karmaşık bir yöntem olan EtherHiding’i benimsemesiyle siber güvenlik ortamı, saldırı tekniklerinde önemli bir evrime tanık oldu.
EtherHiding, siber suçluların, BNB Smart Chain ve Ethereum gibi halka açık blok zincirlerdeki akıllı sözleşmelere kötü amaçlı yazılım kodu yerleştirerek kötü amaçlı yükleri depolama ve iletme biçiminde temel bir değişimi temsil ediyor.
Bu teknik esasen blok zincirini, geleneksel kaldırma çabaları ve engelleme önlemlerine karşı benzeri görülmemiş bir dayanıklılık sunan merkezi olmayan bir komuta ve kontrol sunucusuna dönüştürür.
Google Tehdit İstihbarat Grubu (GTIG), Kuzey Kore bağlantılı tehdit aktörü UNC5342’yi, bu yenilikçi tekniği kullanırken gözlemlenen ilk ulus devlet grubu olarak tanımladı ve devlet destekli siber operasyonlarda endişe verici bir ilerlemeye işaret etti.
Yöntem ilk olarak Eylül 2023’te, UNC5142 tehdit kümesi tarafından yürütülen, kurbanları kötü amaçlı kod çalıştırmaya yönlendirmek için sahte tarayıcı güncelleme istemleri gibi aldatıcı katmanlar kullanan, mali amaçlı CLEARFAKE kampanyası sırasında ortaya çıktı.
Saldırı zinciri, Kuzey Koreli tehdit aktörlerinin güvenlik açıkları veya çalıntı kimlik bilgileri yoluyla meşru web sitelerini ele geçirmesi ve ardından ele geçirilen siteye küçük bir JavaScript yükleyici komut dosyası yerleştirmesiyle başlıyor.
Şüphelenmeyen kullanıcılar virüslü web sitesini ziyaret ettiğinde, yükleyici komut dosyası tarayıcılarında yürütülür ve uzaktan depolanan ana kötü amaçlı yükü almak için blockchain ile iletişim kurar.
Bu geri alma sürecinin kritik bir özelliği, blockchain işlemleri oluşturmaktan kaçınan salt okunur işlev çağrılarının kullanılmasını, kötü amaçlı yazılım alımının gas ücretlerini atlarken gizli kalmasını sağlamayı içerir.
Saldırganlar İçin Stratejik Avantajlar
EtherHiding, saldırganlara bu tekniğin karşı konulmasını özellikle zorlaştıran çeşitli cazip avantajlar sağlar.
Blockchain’in merkezi olmayan doğası, kolluk kuvvetlerinin veya siber güvenlik firmalarının devre dışı bırakabileceği merkezi bir sunucunun olmadığı ve blockchain çalıştığı sürece kötü amaçlı kodların erişilebilir kaldığı anlamına gelir.
Blockchain işlemlerinin takma adlı doğası, saldırganların kimliklerini takip etmeyi son derece zorlaştırırken, akıllı sözleşmelerin değişmezliği, dağıtılan kötü amaçlı kodun genellikle sözleşme sahibi dışında kaldırılamayacağı veya değiştirilemeyeceği anlamına gelir.
Belki de en endişe verici olanı, bu tekniğin saldırganlara sağladığı esnekliktir. Akıllı sözleşmeyi kontrol ederek, tehdit aktörleri kötü amaçlı yükleri istedikleri zaman güncelleyebilir; bu da onların saldırı yöntemlerini değiştirmelerine, etki alanlarını güncellemelerine veya akıllı sözleşmeyi güncelleyerek aynı anda farklı kötü amaçlı yazılım türlerini dağıtmalarına olanak tanır.
Ayrıca saldırganlar, blok zincirinde görünür bir işlem geçmişi bırakmayan salt okunur çağrıları kullanarak yükleri alabilir ve bu da etkinliklerinin izlenmesini önemli ölçüde zorlaştırır.
Bu özelliklerin birleşimi, blockchain’in doğal özelliklerinin kötü niyetli amaçlar için yeniden kullanıldığı yeni nesil kurşun geçirmez barındırmaya doğru bir geçişi temsil ediyor.
Şubat 2025’ten bu yana GTIG, UNC5342’nin EtherHiding’i Palo Alto Networks’ün Bulaşıcı Röportaj adlı devam eden bir sosyal mühendislik kampanyasına dahil etmesini takip ediyor.
Bu karmaşık operasyon, iş başvuru prosedürlerini akıllıca suiistimal eden ayrıntılı bir sahte işe alım süreci aracılığıyla, özellikle kripto para birimi ve teknoloji sektörlerindeki geliştiricileri hedef alıyor.
Kampanya, Kuzey Kore’nin stratejik hedefleriyle uyumlu ikili amaçlara hizmet ediyor: uluslararası yaptırımları aşmak için kripto para hırsızlığı yoluyla gelir elde etmek ve geliştiricilerin istihbarat toplaması ve teknoloji şirketlerinde yer edinmesi için tehlikeye atarak casusluk yapmak.
Saldırı, sahte işe alım görevlilerinin LinkedIn gibi profesyonel ağ sitelerinde ikna edici profiller oluşturmasıyla başlıyor ve genellikle tanınmış teknoloji veya kripto para şirketlerinin temsilcilerinin kimliğine bürünüyor.
Bazı durumlarda saldırganlar, BlockNovas LLC, Angeloper Agency ve SoftGlideLLC gibi kuruluşlar için sahte web siteleri ve sosyal medya varlıkları içeren tamamen uydurma şirketler kurmuşlardır.
İlk temas kurulduktan sonra mağdurlar sahte röportaj süreci için Telegram veya Discord gibi platformlara yönlendiriliyor.
Saldırının özü, adaylardan kodlama testleri veya proje incelemeleri için GitHub gibi depolardan dosya indirmelerinin istendiği teknik değerlendirme aşamasında meydana geliyor.
Bu dosyalar, çok aşamalı bir enfeksiyon sürecini başlatan kötü amaçlı kod içerir. Kampanya, ilk indirici olarak JADESNOW kötü amaçlı yazılımını kullanıyor ve daha sonra INVISIBLEFERRET’in bir JavaScript versiyonunu dağıtıyor.
Bu ikinci aşama kötü amaçlı yazılım, özellikle kripto para birimi cüzdanlarını, tarayıcı uzantısı verilerini ve kimlik bilgilerini hedef alarak hassas verileri taramak ve sızdırmak üzere tasarlanmıştır.
Yüksek değerli hedefler için kalıcı INVISIBLEFERRET arka kapısı, saldırganlara güvenliği ihlal edilmiş sistemler üzerinde uzaktan kontrol olanağı sağlayarak uzun vadeli casusluğa, veri hırsızlığına ve ağlar içinde yanal harekete olanak tanır.
JADESNOW ve Blockchain Altyapısı
JADESNOW, BNB Smart Chain ve Ethereum’daki akıllı sözleşmelerden kötü amaçlı yükleri almak, şifresini çözmek ve yürütmek için EtherHiding’i kullanan, özellikle UNC5342 ile ilişkili, JavaScript tabanlı bir indirici kötü amaçlı yazılım ailesidir.
İlk indirici, akıllı sözleşmelerde saklanan JADESNOW yükünü okumak için BNB Akıllı Zincirini Binplorer dahil çeşitli API sağlayıcıları aracılığıyla sorgular.
Belirli bir akıllı sözleşmenin analizi, sözleşmenin ilk dört ay içinde 20 defadan fazla güncellendiğini ve her güncellemenin ortalama yalnızca 1,37 ABD Doları gaz ücretine mal olduğunu ortaya çıkardı. Bu düşük maliyetli ve yüksek güncelleme sıklığı, saldırganın kampanya yapılandırmalarını kolayca değiştirebilme yeteneğini gösterir.
UNC5342’nin uygulamasını özellikle dikkate değer kılan şey, aynı operasyonda birden fazla blok zincirinin kullanılmasıdır.
İlk JADESNOW indiricisi BNB Smart Chain’i sorgularken, gizlenen veri, saldırgan tarafından kontrol edilen adreslerin işlem geçmişini sorgulamak için GET istekleri gerçekleştirerek Ethereum’a döner.
Saldırganlar, yükü doğrudan depolamak için bir Ethereum akıllı sözleşmesi kullanmak yerine, iyi bilinen yazma adresine yapılan işlemlerden saklanan çağrı verilerini okur ve blockchain işlemini etkin bir şekilde Dead Drop Resolver olarak kullanır.
Bu işlemler sıklıkla oluşturuluyor ve C2 sunucusunun değiştirilmesi de dahil olmak üzere basit bir blockchain işlemiyle kampanyanın ne kadar kolay güncellenebileceğini gösteriyor.
Blockchain ağlarının merkezi olmayan yapısına rağmen, hem UNC5342 hem de UNC5142, blockchain ile etkileşimde bulunmak için merkezi hizmetlere güveniyor ve savunucular için potansiyel müdahale noktaları yaratıyor.
Hiçbir tehdit aktörü, akıllı sözleşmelerden bilgi alırken BNB Akıllı Zincir ile doğrudan etkileşime girmiyor; bunun yerine geleneksel Web2 hizmetlerine benzer merkezi API hizmetlerinden yararlanırlar.
UNC5142, BNB Akıllı Zincir düğümleriyle doğrudan iletişim için RPC uç noktalarını kullanırken UNC5342, tehdit aktörü ile blockchain arasında soyutlama katmanları görevi gören merkezi varlıklar tarafından barındırılan API hizmetlerini kullanır.
Savunma Stratejileri ve Öneriler
Bilinen etki alanlarını ve IP’leri engellemeye dayanan geleneksel kampanya azaltma stratejileri, akıllı sözleşmeler özerk bir şekilde çalıştığından ve geleneksel yöntemlerle kapatılamadığı için EtherHiding’e karşı yetersiz kalıyor.
BscScan ve Etherscan gibi blockchain tarayıcıları, güvenlik araştırmacılarının sözleşmeleri kötü amaçlı olarak etiketlemesine olanak tanırken, sözleşme dağıtıldıktan sonra da kötü amaçlı faaliyetler gerçekleştirilebilir.
Chrome Enterprise, bir kuruluştaki tüm yönetilen tarayıcılarda güvenlik politikalarını yapılandırmak ve uygulamak için Chrome Tarayıcı Bulut Yönetimi’ni kullanarak merkezi bir risk azaltma yaklaşımı sunar.
Temel önleme politikaları arasında .exe, .msi, .bat ve .dll gibi tehlikeli dosya türlerini engellemek için İndirme Kısıtlamaları uygulanması ve kötü amaçlı yüklerin kullanıcıların bilgisayarlarına kaydedilmesinin önlenmesi yer alır.
Kuruluşlar ayrıca Chrome güncellemelerini arka planda sessizce ve otomatik olarak ileten yönetilen güncellemelerden de yararlanarak sahte güncelleme istemlerinin sosyal mühendislik taktiğini baltalamalıdır.
Ayrıca, URLBlocklist politikaları, bilinen kötü amaçlı web sitelerine veya tehdit istihbaratı tarafından tanımlanan blockchain düğüm URL’lerine erişimi engelleyebilir; Google’ın Güvenli Tarama’nın gelişmiş modda uygulanması, kullanıcıları kimlik avı siteleri ve kötü amaçlı indirmeler konusunda uyarmak için gerçek zamanlı tehdit istihbaratı sağlar.
EtherHiding’i benimseyen UNC5342 gibi ulus devlet aktörlerinin ortaya çıkışı, saldırganların yeni teknolojileri kötü amaçlarla uyarlaması ve bunlardan yararlanması nedeniyle siber tehditlerin sürekli evrimini göstermektedir.
Uzlaşma Göstergeleri (IOC’ler)
| Tip | Gösterge | Bağlam |
|---|---|---|
| SHA256 Hash (ZIP Arşivi) | 970307708071c01d32ef542a49099571852846a980d6e8eb164d2578147a1628 | İlk indiriciyi (bu durumda JADESNOW) içeren ZIP arşivi. |
| SHA256 Hash (İlk JavaScript İndiricisi) | 01fd153bfb4be440dd46cea7bebe8eb61b1897596523f6f6d1a507a708b17cc7 | Enfeksiyon zincirini başlatmak için JADESNOW örneği. |
| BSC Adresi (Akıllı Sözleşme) | 0x8eac3198dd72f3e07108c4c7cff43108ad48a71c | UNC5342 tarafından ikinci aşama JADESNOW yükünü barındırmak için kullanılan BNB Akıllı Zincir sözleşmesi. |
| BSC Adresi (Saldırgan Kontrollü) | 0x9bc1355344b54dedf3e44296916ed15653844509 | Kötü amaçlı BNB Akıllı Zincir sözleşmesinin sahibinin adresi. |
| Ethereum İşlem Karması (INVISIBLEFERRET.JAVASCRIPT Yükü) | 0x86d1a21fd151e344ccc0778fd018c281db9d40b6ccd4bdd3588cb40fade1a33a | INVISIBLEFERRET.JAVASCRIPT yükünün depolandığı işlem. |
| Ethereum İşlem Karması (INVISIBLEFERRET.JAVASCRIPT Bölünmüş Yük) | 0xc2da361c40279a4f2f84448791377652f2bf41f06d18f19941a96c720228cd0f | Bölünmüş INVISIBLEFERRET.JAVASCRIPT yükünü depolayan işlem. |
| Ethereum İşlem Karması (INVISIBLEFERRET Kimlik Bilgisi Hırsızı Yükü) | 0xf9d432745ea15dbc00ff319417af3763f72fcf8a4debedbfceeef4246847ce41 | Ek INVISIBLEFERRET.JAVASCRIPT kimlik bilgisi hırsızı yükünü depolayan işlem. |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.