انتشار شده در تاریخ 1404/07/27 - 17:26

گوگل هشدار داد: استفاده هکرها از بلاک‌چین برای توزیع بدافزارهای غیرقابل حذف

محققان امنیتی گوگل برای اولین بار از روش هک جدیدی پرده برداشته‌اند که از بلاک‌چین برای میزبانی و توزیع بدافزارها استفاده می‌کند.

به گزارش کارگروه امنیت سایبربان ؛ محققان امنیتی گوگل برای اولین بار از روش هک جدیدی پرده برداشته‌اند که از بلاک‌چین برای میزبانی و توزیع بدافزارها استفاده می‌کند. در این روش با استفاده از تکنیک EtherHiding، کدهای مخرب در قراردادهای هوشمند زنجیره هوشمند بایننس (BNB) و اتریوم جاسازی می‌شوند و از این طریق بدافزار یک در پشتی را برای جاسوسی و سرقت اطلاعات روی سیستم قربانیان نصب می‌کند.

بر اساس تحقیقات جدید گروه اطلاعات تهدیدات گوگل (GTIG)، هکرها اکنون از بلاکچین‌های عمومی برای انتقال نرم‌افزارهای مخرب خود استفاده می‌کند. این کمپین که از تکنیکی به نام «EtherHiding» بهره می‌برد، اولین مورد مستند از به‌کارگیری بدافزار مبتنی بر قرارداد هوشمند برای فرار از شناسایی و مختل کردن تلاش‌ها برای مقابله است.

گوگل این فعالیت را به گروه UNC5342 نسبت می‌دهد که توسعه‌دهندگان و فعالان حوزه ارزهای دیجیتال را هدف قرار می‌دهد. این گروه که اولین بار در زمستان ۱۴۰۴ مشاهده شد، از EtherHiding و یک دانلودر جاوا اسکریپت به نام JADESNOW برای دریافت و اجرای یک بک‌دور قدرتمند با نام INVISIBLEFERRET استفاده می‌کند که مستقیماً از داده‌های ذخیره‌شده در قراردادهای هوشمند اتریوم و زنجیره هوشمند BNB فراخوانی می‌شود.

سازوکار حمله؛ از بلاکچین تا سیستم قربانی

مکانیزم تحویل محموله مخرب این گروه دستورات Read-only شبکه بلاکچین استوار است. این درخواست‌ها تراکنش جدیدی ایجاد نمی‌کنند و ردپای قابل مشاهده‌ای در ابزارهای تحلیل بلاکچین به جا نمی‌گذارند. از آنجایی که خود قراردادهای هوشمند تغییرناپذیر یا Immutable هستند، مدافعان نمی‌توانند اسکریپت‌های جاسازی‌شده را حذف کنند. این تکنیک به مهاجمان اجازه می‌دهد تا با بازنویسی متغیرهای ذخیره‌سازی قرارداد، محموله بدافزار را به‌روزرسانی یا تعویض کنند.

این اولین بار است که یک گروه هکری چنین روشی را در جعبه‌ابزار عملیاتی خود به کار می‌گیرد. گزارش گوگل این زیرساخت بلاکچینی را به آلودگی‌های واقعی مرتبط می‌داند که از طریق وب‌سایت‌های وردپرسی هک‌شده و فریب‌های مهندسی اجتماعی، مانند مصاحبه‌های شغلی جعلی برای توسعه‌دهندگان کریپتو، توزیع شده‌اند. قربانیان پس از ورود به این سایت‌ها، لودر JADESNOW را دریافت می‌کنند که با قرارداد هوشمند ارتباط برقرار کرده و بدافزار INVISIBLEFERRET را اجرا می‌کند.

روش‌های مقابله و کاهش خطر

بدافزار INVISIBLEFERRET یک بک‌دور کامل با قابلیت کنترل از راه دور است که امکان جاسوسی بلندمدت و سرقت داده‌ها را فراهم می‌آورد. اگرچه گوگل مشخص نکرده که داده‌ها چگونه توسط قرارداد هوشمند دزدیده شده‌اند، اما تحقیقات قبلی نشان می‌دهد مهاجمان اغلب از فراخوانی‌های استاندارد JSON-RPC استفاده می‌کنند. مسدود کردن این سرویس‌ها یا محدود کردن دسترسی به نودهای بلاکچینی می‌تواند یک راهکار موقت برای مهار حمله باشد.

همچنین سازمان‌ها می‌توانند با اعمال سیاست‌های سخت‌گیرانه برای اجرای اسکریپت‌ها و افزونه‌ها و همچنین ایمن‌سازی فرآیندهای به‌روزرسانی، از اجرای کدهای مخرب جلوگیری کنند.