Hotline: 0917111899 - 0914140366 hoặc kinhdoanh@itw.vn

Icon heart
0
Icon cart 0

Tin tặc do nhà nước hậu thuẫn phát tán phần mềm độc hại từ các chuỗi khối "bất khả xâm phạm".

Tác giả dangkhoa 06/02/2026 14 phút đọc

Tin tặc do nhà nước hậu thuẫn phát tán phần mềm độc hại từ các chuỗi khối "bất khả xâm phạm".

Các phần mềm độc hại được lưu trữ trên chuỗi khối Ethereum và BNB không thể bị gỡ bỏ.    

malware-threat-1000x648
 
Nguồn ảnh: Getty Images

Các nhóm tin tặc—ít nhất một trong số đó hoạt động thay mặt cho chính phủ Triều Tiên—đã tìm ra một cách mới và tiết kiệm chi phí để phân phối phần mềm độc hại từ các máy chủ "bất khả xâm phạm": lưu trữ chúng trên các chuỗi khối tiền điện tử công khai.

Trong một bài đăng hôm thứ Năm , các thành viên của Nhóm Tình báo Mối đe dọa của Google cho biết kỹ thuật này cung cấp cho tin tặc một máy chủ "bất khả xâm phạm" riêng, thuật ngữ mô tả các nền tảng đám mây hầu như miễn nhiễm với việc bị cơ quan thực thi pháp luật và các nhà nghiên cứu bảo mật gỡ bỏ. Theo cách truyền thống hơn, các máy chủ này được đặt tại các quốc gia không có hiệp ước đồng ý thực thi luật hình sự của Mỹ và các quốc gia khác. Các dịch vụ này thường tính phí rất cao và phục vụ cho tội phạm phát tán phần mềm độc hại hoặc buôn bán tài liệu và hàng hóa lạm dụng tình dục trẻ em được bán ở các chợ đen tội phạm.

Dịch vụ lưu trữ thế hệ mới, tự thiết lập, không thể bị can thiệp.

Từ tháng Hai, các nhà nghiên cứu của Google đã quan sát thấy hai nhóm tin tặc chuyển sang sử dụng một kỹ thuật mới để lây nhiễm cho mục tiêu các phần mềm đánh cắp thông tin đăng nhập và các loại phần mềm độc hại khác. Phương pháp này, được gọi là EtherHiding, nhúng phần mềm độc hại vào các hợp đồng thông minh, về cơ bản là các ứng dụng nằm trên chuỗi khối của Ethereum và các loại tiền điện tử khác. Hai hoặc nhiều bên sau đó sẽ ký kết một thỏa thuận được nêu rõ trong hợp đồng. Khi các điều kiện nhất định được đáp ứng, các ứng dụng sẽ thực thi các điều khoản của hợp đồng theo cách mà, ít nhất về mặt lý thuyết, là bất biến và độc lập với bất kỳ cơ quan trung ương nào.

“Về bản chất, EtherHiding thể hiện sự chuyển dịch sang mô hình lưu trữ chống tấn công thế hệ mới, nơi các tính năng vốn có của công nghệ blockchain được sử dụng lại cho các mục đích xấu,” các nhà nghiên cứu của Google, Blas Kojusner, Robert Wallace và Joseph Dobson, viết. “Kỹ thuật này nhấn mạnh sự tiến hóa liên tục của các mối đe dọa mạng khi tin tặc thích nghi và tận dụng các công nghệ mới để có lợi cho mình.”

EtherHiding có rất nhiều ưu điểm so với các phương pháp phát tán phần mềm độc hại truyền thống, ngoài việc cung cấp dịch vụ lưu trữ an toàn tuyệt đối, còn bao gồm cả việc lợi dụng các máy chủ bị xâm nhập.

  •  
    • Việc phân quyền ngăn chặn việc gỡ bỏ các hợp đồng thông minh độc hại vì các cơ chế trong chuỗi khối cấm việc xóa bỏ tất cả các hợp đồng như vậy.
    • Tương tự, tính bất biến của các hợp đồng ngăn cản việc xóa bỏ hoặc can thiệp vào phần mềm độc hại bởi bất kỳ ai.
    • Các giao dịch trên Ethereum và một số blockchain khác về cơ bản là ẩn danh, giúp bảo vệ danh tính của tin tặc.
    • Việc thu thập phần mềm độc hại từ các hợp đồng không để lại dấu vết truy cập nào trong nhật ký sự kiện, đảm bảo tính bí mật.
    • Kẻ tấn công có thể cập nhật các phần mềm độc hại bất cứ lúc nào.

Việc tạo hoặc sửa đổi hợp đồng thông minh thường có chi phí dưới 2 đô la mỗi giao dịch, tiết kiệm được một khoản tiền và nhân công rất lớn so với các phương pháp phát tán phần mềm độc hại truyền thống.

Trên lớp vỏ của EtherHiding mà Google đã phát hiện, còn có một chiến dịch tấn công kỹ thuật xã hội sử dụng việc tuyển dụng các công việc giả để dụ dỗ nạn nhân, nhiều người trong số đó là các nhà phát triển ứng dụng tiền điện tử hoặc các dịch vụ trực tuyến khác. Trong quá trình sàng lọc, các ứng viên phải thực hiện một bài kiểm tra chứng minh kỹ năng lập trình hoặc đánh giá mã của họ. Các tệp cần thiết để hoàn thành bài kiểm tra được nhúng mã độc.

unc5342-etherhiding-1024x511
 
Hình minh họa quy trình EtherHiding của UNC5342.

Quá trình lây nhiễm dựa trên một chuỗi phần mềm độc hại được cài đặt theo từng giai đoạn. Các giai đoạn sau, chịu trách nhiệm thực thi các mã độc cuối cùng, sẽ được cài đặt thông qua các hợp đồng thông minh mà tin tặc lưu trữ trên chuỗi khối Ethereum và BNB Smart Chain, cho phép bất kỳ ai cũng có thể tải lên.

Một trong những nhóm mà Google theo dõi, một nhóm được Triều Tiên hậu thuẫn với mã định danh UNC5342, sử dụng phần mềm độc hại giai đoạn đầu (được theo dõi với mã định danh JadeSnow) để lấy phần mềm độc hại giai đoạn sau từ cả chuỗi khối BNB và Ethereum. Các nhà nghiên cứu của Google đã quan sát thấy:

Việc một tác nhân đe dọa sử dụng nhiều chuỗi khối cho hoạt động EtherHiding là điều bất thường; điều này có thể cho thấy sự phân chia hoạt động giữa các nhóm tin tặc Triều Tiên. Cuối cùng, các chiến dịch thường tận dụng tính linh hoạt của EtherHiding để cập nhật chuỗi lây nhiễm và thay đổi địa điểm phân phối phần mềm độc hại. Trong một giao dịch, trình tải xuống JADESNOW có thể chuyển từ việc tải phần mềm trên Ethereum sang tải trên BNB Smart Chain. Việc chuyển đổi này không chỉ làm phức tạp quá trình phân tích mà còn tận dụng được phí giao dịch thấp hơn do các mạng lưới thay thế cung cấp.

Các nhà nghiên cứu cho biết họ cũng quan sát thấy một nhóm khác, nhóm UNC5142 có động cơ tài chính, cũng sử dụng EtherHiding.

Năng lực tấn công mạng của Triều Tiên từng được đánh giá là thấp. Trong thập kỷ qua, quốc gia này đã thực hiện một loạt các chiến dịch tấn công quy mô lớn, thể hiện kỹ năng, sự tập trung và nguồn lực ngày càng tăng. Hai tuần trước, công ty phân tích blockchain Elliptic cho biết quốc gia này đã đánh cắp tiền điện tử trị giá hơn 2 tỷ đô la tính đến thời điểm hiện tại năm 2026

Tác giả dangkhoa Admin
Bài viết trước NSO bị cấm vĩnh viễn nhắm mục tiêu vào người dùng WhatsApp bằng phần mềm gián điệp Pegasus

NSO bị cấm vĩnh viễn nhắm mục tiêu vào người dùng WhatsApp bằng phần mềm gián điệp Pegasus
Bài viết tiếp theo

Intel trở lại với dự án DRAM mới hướng tới AI

Intel trở lại với dự án DRAM mới hướng tới AI
Viết bình luận
Thêm bình luận

Bài viết liên quan

NSO bị cấm vĩnh viễn nhắm mục tiêu vào người dùng WhatsApp bằng phần mềm gián điệp Pegasus Phần mềm & Bảo mật
06/02/2026

NSO bị cấm vĩnh viễn nhắm mục tiêu vào người dùng WhatsApp bằng phần mềm gián điệp Pegasus

NSO bị cấm vĩnh viễn nhắm mục tiêu vào người dùng WhatsApp bằng phần mềm gián điệp Pegasus. Phán ...

Phần mềm xóa dữ liệu từ những hacker tàn nhẫn nhất Nga trút mưa hủy diệt lên Ukraine Tin tức quốc tế
06/02/2026

Phần mềm xóa dữ liệu từ những hacker tàn nhẫn nhất Nga trút mưa hủy diệt lên Ukraine

Một trong những nhóm hack tàn nhẫn và tiên tiến nhất thế giới, nhóm Sandworm do nhà nước Nga kiểm ...

Jaguar Land Rover đang đối mặt với khoản thiệt hại 2,5 tỷ đô la do cuộc tấn công mạng gây tê liệt. Phần mềm & Bảo mật
06/02/2026

Jaguar Land Rover đang đối mặt với khoản thiệt hại 2,5 tỷ đô la do cuộc tấn công mạng gây tê liệt.

Jaguar Land Rover đang đối mặt với khoản thiệt hại 2,5 tỷ đô la do cuộc tấn công mạng gây tê liệt. ...

Các cuộc tấn công vật lý mới đang nhanh chóng làm suy yếu hàng phòng thủ secure enclave của Nvidia, AMD và Intel Phần mềm & Bảo mật
06/02/2026

Các cuộc tấn công vật lý mới đang nhanh chóng làm suy yếu hàng phòng thủ secure enclave của Nvidia, AMD và Intel

Môi trường thực thi đáng tin cậy, hay TEE, có ở mọi nơi, trong kiến trúc blockchain, hầu như mọi ...

Trình duyệt này tuyên bố 'bảo vệ quyền riêng tư hoàn hảo', nhưng lại hoạt động như malware Phần mềm & Bảo mật
06/02/2026

Trình duyệt này tuyên bố 'bảo vệ quyền riêng tư hoàn hảo', nhưng lại hoạt động như malware

Trình duyệt Vũ trụ đưa ra một số hứa hẹn lớn cho người dùng tiềm năng của nó. Các quảng cáo trực ...

Lỗ hổng cache poisoning được phát hiện trong 2 ứng dụng giải quyết DNS Phần mềm & Bảo mật
06/02/2026

Lỗ hổng cache poisoning được phát hiện trong 2 ứng dụng giải quyết DNS

Các nhà sản xuất BIND, phần mềm được sử dụng rộng rãi nhất của Internet để giải quyết tên miền, đang ...

Thông báo

0917111899

Menu

Ngành hàng

Hotline

0917111899 - 0914140366

Email

kinhdoanh@itw.vn

Copyright 2025 © THẾ GIỚI TIN HỌC