Bối cảnh an ninh mạng đang chứng kiến sự phát triển đáng kể trong các kỹ thuật tấn công, với việc các tác nhân đe dọa Triều Tiên áp dụng EtherHiding – một phương pháp tinh vi khai thác công nghệ blockchain để phân phối mã độc và tạo điều kiện đánh cắp tiền điện tử. Sự xuất hiện của EtherHiding đánh dấu một mối đe dọa mạng mới, thách thức các biện pháp phòng thủ truyền thống.

EtherHiding: Kỹ thuật Tấn công Mới Sử dụng Blockchain

EtherHiding đại diện cho một sự thay đổi cơ bản trong cách thức tội phạm mạng lưu trữ và phân phối các payload độc hại. Kỹ thuật này nhúng mã mã độc vào các hợp đồng thông minh (smart contracts) trên các chuỗi khối công khai như BNB Smart Chain và Ethereum.

Về bản chất, phương pháp này biến blockchain thành một máy chủ điều khiển và kiểm soát (C2) phi tập trung. Điều này mang lại khả năng phục hồi chưa từng có chống lại các nỗ lực gỡ bỏ truyền thống và các biện pháp chặn địa chỉ (blocklisting).

Google Threat Intelligence Group (GTIG) đã xác định tác nhân đe dọa liên kết với Triều Tiên UNC5342 là nhóm quốc gia đầu tiên được quan sát sử dụng kỹ thuật sáng tạo này. Đây là một bước tiến đáng lo ngại trong các hoạt động không gian mạng do nhà nước tài trợ.

Chuỗi Tấn công và Cơ chế Kỹ thuật

Kỹ thuật EtherHiding lần đầu tiên xuất hiện vào tháng 9 năm 2023 trong chiến dịch CLEARFAKE do cụm đe dọa UNC5142 thực hiện. Chiến dịch này có động cơ tài chính, sử dụng các lớp phủ lừa đảo như lời nhắc cập nhật trình duyệt giả mạo để thao túng nạn nhân thực thi mã độc.

Chuỗi tấn công mạng bắt đầu khi các tác nhân đe dọa Triều Tiên xâm nhập các trang web hợp pháp thông qua các lỗ hổng hoặc thông tin đăng nhập bị đánh cắp. Sau đó, họ tiêm một đoạn mã JavaScript loader nhỏ vào trang web bị xâm nhập.

Khi người dùng không nghi ngờ truy cập trang web bị nhiễm, script loader sẽ thực thi trong trình duyệt của họ. Nó giao tiếp với blockchain để truy xuất payload độc hại chính được lưu trữ từ xa.

Một tính năng quan trọng của quá trình truy xuất này là sử dụng các lệnh gọi hàm chỉ đọc (read-only function calls). Điều này tránh tạo các giao dịch blockchain, đảm bảo việc truy xuất mã độc diễn ra âm thầm và bỏ qua phí gas.

Ưu điểm của EtherHiding đối với Tác nhân Tấn công

EtherHiding cung cấp cho kẻ tấn công một số lợi thế đáng kể, khiến kỹ thuật này đặc biệt khó chống lại:

• Tính phi tập trung: Bản chất phi tập trung của blockchain có nghĩa là không có máy chủ trung tâm nào mà các cơ quan thực thi pháp luật hoặc công ty an ninh mạng có thể gỡ bỏ. Mã độc vẫn có thể truy cập được miễn là blockchain hoạt động.
• Tính ẩn danh: Bản chất giả danh của các giao dịch blockchain khiến việc truy tìm danh tính kẻ tấn công trở nên cực kỳ khó khăn.
• Tính bất biến: Tính bất biến của các hợp đồng thông minh có nghĩa là mã độc đã triển khai thường không thể bị xóa hoặc thay đổi, trừ khi bởi chủ sở hữu hợp đồng.
• Tính linh hoạt: Các tác nhân đe dọa có thể cập nhật payload độc hại bất cứ lúc nào bằng cách kiểm soát hợp đồng thông minh. Điều này cho phép họ thay đổi phương thức tấn công, cập nhật tên miền hoặc triển khai các loại mã độc khác nhau đồng thời.
• Tính tàng hình: Kẻ tấn công có thể truy xuất payload bằng các lệnh gọi chỉ đọc, không để lại lịch sử giao dịch rõ ràng trên blockchain, khiến hoạt động của chúng khó bị theo dõi hơn đáng kể.

Sự kết hợp các tính năng này thể hiện một bước chuyển đổi sang “bulletproof hosting” thế hệ tiếp theo, nơi các đặc điểm vốn có của blockchain được sử dụng cho mục đích độc hại, tạo ra một mối đe dọa mạng phức tạp.

Chiến dịch “Contagious Interview” và Mã độc JADESNOW/INVISIBLEFERRET

Kể từ tháng 2 năm 2025, GTIG đã theo dõi UNC5342 tích hợp EtherHiding vào một chiến dịch lừa đảo xã hội đang diễn ra, được Palo Alto Networks đặt tên là “Contagious Interview”. Hoạt động tinh vi này nhắm mục tiêu vào các nhà phát triển, đặc biệt là trong lĩnh vực tiền điện tử và công nghệ, thông qua một quy trình tuyển dụng giả mạo phức tạp.

Chiến dịch phục vụ hai mục đích chính phù hợp với các mục tiêu chiến lược của Triều Tiên: tạo doanh thu thông qua đánh cắp tiền điện tử để vượt qua các lệnh trừng phạt quốc tế, và tiến hành gián điệp bằng cách thỏa hiệp các nhà phát triển để thu thập thông tin tình báo và tạo chỗ đứng trong các công ty công nghệ.

Quy trình Tấn công Xã hội

Tấn công mạng bắt đầu với việc các nhà tuyển dụng giả mạo tạo hồ sơ thuyết phục trên các trang mạng xã hội chuyên nghiệp như LinkedIn. Họ thường mạo danh đại diện từ các công ty công nghệ hoặc tiền điện tử nổi tiếng.

Trong một số trường hợp, kẻ tấn công đã thành lập các công ty hoàn toàn giả mạo với các trang web và hiện diện trên mạng xã hội giả mạo cho các thực thể như BlockNovas LLC, Angeloper Agency và SoftGlideLLC.

Sau khi thiết lập liên lạc ban đầu, nạn nhân được chuyển sang các nền tảng như Telegram hoặc Discord để thực hiện quy trình phỏng vấn giả mạo.

Điểm mấu chốt của cuộc tấn công mạng xảy ra trong giai đoạn đánh giá kỹ thuật, nơi các ứng viên được yêu cầu tải xuống các tệp từ các kho lưu trữ như GitHub cho các bài kiểm tra mã hóa hoặc đánh giá dự án.

Các tệp này chứa mã độc khởi tạo một quy trình lây nhiễm nhiều giai đoạn. Chiến dịch sử dụng mã độc JADESNOW làm trình tải xuống ban đầu, sau đó triển khai một biến thể JavaScript của INVISIBLEFERRET.

INVISIBLEFERRET là mã độc giai đoạn thứ hai được thiết kế để quét và đánh cắp dữ liệu nhạy cảm. Nó đặc biệt nhắm mục tiêu vào ví tiền điện tử, dữ liệu tiện ích mở rộng trình duyệt và thông tin đăng nhập.

Đối với các mục tiêu có giá trị cao, backdoor INVISIBLEFERRET cung cấp cho kẻ tấn công khả năng kiểm soát từ xa các hệ thống bị xâm nhập. Điều này cho phép gián điệp dài hạn, đánh cắp dữ liệu và di chuyển ngang trong mạng.

Cơ chế hoạt động của JADESNOW và Tương tác đa-Blockchain

JADESNOW là một họ mã độc downloader dựa trên JavaScript, được liên kết cụ thể với UNC5342. Nó sử dụng EtherHiding để lấy, giải mã và thực thi các payload độc hại từ các hợp đồng thông minh trên BNB Smart Chain và Ethereum.

Trình tải xuống ban đầu truy vấn BNB Smart Chain thông qua nhiều nhà cung cấp API, bao gồm Binplorer, để đọc payload JADESNOW được lưu trữ trong các hợp đồng thông minh.

Phân tích một hợp đồng thông minh cụ thể cho thấy nó đã được cập nhật hơn 20 lần trong vòng bốn tháng đầu tiên, với mỗi lần cập nhật tốn trung bình chỉ 1.37 USD phí gas. Chi phí thấp và tần suất cập nhật cao này minh họa khả năng dễ dàng sửa đổi cấu hình chiến dịch của kẻ tấn công.

Điểm đáng chú ý trong việc triển khai của UNC5342 là việc sử dụng nhiều blockchain trong cùng một hoạt động. Trong khi trình tải xuống JADESNOW ban đầu truy vấn BNB Smart Chain, payload bị làm rối sẽ chuyển sang Ethereum bằng cách thực hiện các yêu cầu GET để truy vấn lịch sử giao dịch của các địa chỉ do kẻ tấn công kiểm soát.

Thay vì sử dụng một hợp đồng thông minh Ethereum để lưu trữ payload trực tiếp, kẻ tấn công đọc calldata được lưu trữ từ các giao dịch được thực hiện đến địa chỉ “burn address” nổi tiếng. Điều này biến giao dịch blockchain thành một Dead Drop Resolver hiệu quả.

Các giao dịch này được tạo ra thường xuyên, cho thấy mức độ dễ dàng có thể cập nhật chiến dịch bằng một giao dịch blockchain đơn giản, bao gồm cả việc thay đổi máy chủ C2.

Các Chỉ số Thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp (IOCs) liên quan đến các chiến dịch sử dụng EtherHiding bao gồm:

• Nhóm tác nhân đe dọa:
  • UNC5342 (Liên kết với Triều Tiên)
  • UNC5142
• Mã độc:
  • JADESNOW (JavaScript-based downloader)
  • INVISIBLEFERRET (JavaScript variant, second-stage, backdoor)
• Tên công ty/thực thể giả mạo được sử dụng trong lừa đảo xã hội:
  • BlockNovas LLC
  • Angeloper Agency
  • SoftGlideLLC
• Các chuỗi khối được khai thác:
  • BNB Smart Chain
  • Ethereum

Các Chiến lược Giảm thiểu và Phòng thủ

Các chiến lược giảm thiểu chiến dịch truyền thống dựa trên việc chặn các tên miền và địa chỉ IP đã biết tỏ ra không đủ hiệu quả chống lại EtherHiding, vì các hợp đồng thông minh hoạt động tự động và không thể bị gỡ bỏ thông qua các phương tiện thông thường. Mối đe dọa mạng này đòi hỏi một cách tiếp cận mới.

Mặc dù các trình quét blockchain như BscScan và Etherscan cho phép các nhà nghiên cứu bảo mật gắn thẻ các hợp đồng là độc hại, nhưng hoạt động độc hại vẫn có thể được thực hiện sau khi hợp đồng được triển khai.

Biện pháp Phòng ngừa với Chrome Enterprise

Chrome Enterprise cung cấp một cách tiếp cận giảm thiểu tập trung bằng cách sử dụng Chrome Browser Cloud Management để cấu hình và thực thi các chính sách bảo mật trên tất cả các trình duyệt được quản lý trong một tổ chức.

Các chính sách phòng ngừa quan trọng bao gồm:

• Thực hiện DownloadRestrictions để chặn các loại tệp nguy hiểm như .exe, .msi, .bat, và .dll, ngăn các payload độc hại được lưu vào máy tính của người dùng.
• Các tổ chức cũng nên tận dụng các bản cập nhật được quản lý (managed updates) để tự động đẩy các bản cập nhật Chrome một cách âm thầm trong nền. Điều này làm suy yếu chiến thuật lừa đảo xã hội về các lời nhắc cập nhật giả mạo.
• Ngoài ra, các chính sách URLBlocklist có thể chặn quyền truy cập vào các trang web độc hại đã biết hoặc URL nút blockchain được xác định bởi thông tin tình báo đe dọa.
• Việc thực thi Google’s Safe Browsing ở chế độ nâng cao cung cấp thông tin tình báo đe dọa theo thời gian thực để cảnh báo người dùng về các trang lừa đảo và tải xuống độc hại.

Sự xuất hiện của các tác nhân nhà nước như UNC5342 áp dụng EtherHiding cho thấy sự tiến hóa không ngừng của các mối đe dọa mạng. Kẻ tấn công liên tục thích nghi và tận dụng các công nghệ mới nổi cho các mục đích độc hại.