북한에서 새로운 사이버 위협이 등장하고 있습니다. 국가 지원 해커들이 블록체인 네트워크에 악성 코드를 직접 삽입하는 실험을 하고 있습니다.
구글의 위협 인텔리전스 그룹(GTIG)은 10월 17일에 이더하이딩(EtherHiding)이라는 기술이 해커들이 분산 시스템에서 악성 코드를 숨기고 배포하며 제어하는 새로운 진화를 나타낸다고 보고했습니다.
SponsoredEtherHiding이란?
GTIG는 설명했습니다 이더하이딩은 공격자들이 스마트 계약과 이더리움 같은 공개 블록체인과 BNB 스마트 체인을 무기화하여 악성 페이로드를 저장할 수 있게 한다고 합니다.
이러한 분산 원장에 코드가 업로드되면, 그 불변성 때문에 제거하거나 차단하는 것이 거의 불가능해집니다.
“스마트 계약은 분산 애플리케이션을 구축하는 혁신적인 방법을 제공하지만, 이더하이딩에서는 그 불변성을 이용하여 악성 코드를 호스팅하고 제공하는 방식으로 쉽게 차단할 수 없습니다.”라고 GTIG는 작성했습니다.
실제로 해커들은 종종 패치되지 않은 취약점이나 도난된 자격 증명을 이용하여 합법적인 워드프레스 웹사이트를 손상시킵니다.
접근 권한을 얻은 후, 웹사이트 코드에 “로더”로 알려진 몇 줄의 자바스크립트를 삽입합니다. 방문자가 감염된 페이지를 열면 로더는 조용히 블록체인에 연결하여 원격 서버에서 악성 코드를 가져옵니다.
GTIG는 이 공격이 종종 눈에 보이는 거래 흔적을 남기지 않으며, 오프체인에서 발생하기 때문에 거의 수수료가 들지 않는다고 지적했습니다. 본질적으로 공격자들이 탐지되지 않고 운영할 수 있게 합니다.
Sponsored특히, GTIG는 이더하이딩의 첫 사례를 2023년 9월로 추적했으며, 이는 가짜 브라우저 업데이트 알림으로 사용자를 속인 CLEARFAKE라는 캠페인에서 나타났습니다.
공격을 막는 방법
사이버 보안 연구원들은 이 전술이 북한의 디지털 전략이 단순히 암호화폐를 훔치는 것에서 블록체인 자체를 은밀한 무기로 사용하는 방향으로 전환하고 있음을 나타낸다고 말합니다.
“이더하이딩은 차세대 방탄 호스팅으로의 전환을 나타내며, 블록체인 기술의 고유한 기능이 악의적인 목적으로 재사용됩니다. 이 기술은 공격자들이 새로운 기술을 그들의 이점으로 활용하면서 사이버 위협이 지속적으로 진화하고 있음을 강조합니다.”라고 GTIG는 밝혔습니다.
시티즌 랩의 수석 연구원인 존 스콧-레일턴은 이더하이딩을 “초기 단계의 실험”이라고 설명했습니다. 그는 AI 기반 자동화와 결합하면 미래의 공격이 훨씬 더 탐지하기 어려워질 수 있다고 경고했습니다.
“공격자들이 블록체인을 처리하는 시스템 및 앱을 대상으로 하는 제로 클릭 익스플로잇을 블록체인에 직접 로딩하는 실험도 할 것으로 예상합니다… 특히 거래를 처리하거나 지갑을 보유한 시스템 및 네트워크에 때때로 호스팅되는 경우,”라고 그는 덧붙였습니다.
이 새로운 공격 벡터는 암호화폐 산업에 심각한 영향을 미칠 수 있습니다. 북한의 공격자들이 상당히 활발하기 때문입니다.
TRM 랩스의 데이터에 따르면 북한과 연관된 그룹들이 올해에만 15억 달러 이상의 암호화 자산을 이미 훔쳤습니다. 조사관들은 이 자금이 평양의 군사 프로그램과 국제 제재 회피 노력을 지원한다고 믿고 있습니다.
이러한 상황을 고려하여, GTIG는 암호화폐 사용자들에게 의심스러운 다운로드를 차단하고 승인되지 않은 웹 스크립트를 제한하여 위험을 줄일 것을 권고했습니다. 또한 보안 연구원들에게 블록체인 네트워크에 삽입된 악성 코드를 식별하고 라벨링할 것을 촉구했습니다.
