“UNC5142 ใช้ EtherHiding บน BNB Smart Chain เพื่อแพร่มัลแวร์ — เมื่อบล็อกเชนกลายเป็นเครื่องมืออาชญากรรมไซเบอร์” — จาก WordPress สู่ Smart Contract: การโจมตีที่ล่องหนและยากจะหยุด
รายงานร่วมจาก Mandiant และ Google Threat Intelligence Group (GTIG) เปิดเผยการโจมตีไซเบอร์รูปแบบใหม่โดยกลุ่ม UNC5142 ซึ่งใช้เทคนิค “EtherHiding” บน BNB Smart Chain เพื่อซ่อนและส่งมัลแวร์ผ่าน smart contracts โดยไม่ต้องใช้เซิร์ฟเวอร์แบบเดิม
แทนที่จะโฮสต์มัลแวร์บนโดเมนหรือ IP ที่สามารถถูกบล็อกได้ UNC5142 ฝัง payload ไว้ใน smart contract ที่อยู่บนบล็อกเชน ซึ่งมีคุณสมบัติ “เปลี่ยนไม่ได้” และ “ลบไม่ได้” ทำให้การตรวจจับและการลบแทบเป็นไปไม่ได้
มัลแวร์เริ่มต้นจากการฝัง JavaScript บนเว็บไซต์ WordPress ที่ถูกเจาะ ซึ่งโหลดตัวดาวน์โหลดชื่อ CLEARSHORT — ตัวนี้จะเชื่อมต่อกับ BNB Smart Chain ผ่าน Web3.js เพื่อดึงสคริปต์ถัดไปจาก smart contract และแสดงหน้าต่างหลอกลวง เช่น “อัปเดตระบบ” หรือ “ตรวจสอบความปลอดภัย” เพื่อหลอกให้ผู้ใช้คลิก
ระบบ smart contract ที่ใช้มี 3 ชั้น:
1️⃣ ชั้นแรก: ทำหน้าที่เป็น router ชี้ไปยัง contract ถัดไป
2️⃣ ชั้นสอง: ทำ reconnaissance และ fingerprinting เหยื่อ
3️⃣ ชั้นสาม: เก็บ URL ของ payload และคีย์ AES สำหรับถอดรหัส
การอัปเดต payload หรือคีย์สามารถทำได้ด้วยธุรกรรมราคาถูก (ประมาณ $0.25–$1.50) โดยไม่ต้องเปลี่ยนโค้ดหลักของ contract — ทำให้ระบบมีความยืดหยุ่นสูงและต้นทุนต่ำ
UNC5142 ยังใช้ Cloudflare Pages เพื่อโฮสต์หน้า phishing เช่น reCAPTCHA ปลอม, หน้าความเป็นส่วนตัวปลอม, และหน้าตรวจสอบ bot ปลอม ซึ่งหลอกผู้ใช้ให้คลิกและติดมัลแวร์
มัลแวร์ที่ใช้มีหลายตัว เช่น:
CLEARSHORT: JavaScript downloader
VIDAR และ LUMMAC.V2: สำหรับ Windows
RADTHIEF: ขโมย credentials
ATOMIC: สำหรับ macOS — ใช้ bash script และ bypass quarantine
กลุ่มนี้ยังมีโครงสร้าง infrastructure แบบคู่ขนาน (Main และ Secondary) เพื่อหลบเลี่ยงการถูกปิดระบบ และใช้ wallet ที่เชื่อมโยงกับ OKX exchange ในการจ่ายค่าธุรกรรม
UNC5142 ใช้ EtherHiding บน BNB Smart Chain เพื่อแพร่มัลแวร์
ฝัง payload ใน smart contract ที่ลบไม่ได้
เริ่มต้นจากเว็บไซต์ WordPress ที่ถูกเจาะ
โหลด CLEARSHORT JavaScript downloader
ใช้ Web3.js เชื่อมต่อกับ smart contract เพื่อดึง payload
แสดงหน้าต่างหลอกลวงให้เหยื่อคลิก
Smart contract มี 3 ชั้น: router → reconnaissance → payload
อัปเดตได้ด้วยธุรกรรมราคาถูก
ใช้ Cloudflare Pages เพื่อโฮสต์หน้า phishing
เช่น reCAPTCHA ปลอม และหน้าตรวจสอบ bot
มัลแวร์ที่ใช้: CLEARSHORT, VIDAR, LUMMAC.V2, RADTHIEF, ATOMIC
ครอบคลุมทั้ง Windows และ macOS
โครงสร้าง infrastructure แบบคู่ขนาน (Main และ Secondary)
ใช้ wallet ที่เชื่อมโยงกับ OKX exchange
https://securityonline.info/unc5142-uses-etherhiding-to-deploy-malware-via-bnb-smart-chain-smart-contracts/
รายงานร่วมจาก Mandiant และ Google Threat Intelligence Group (GTIG) เปิดเผยการโจมตีไซเบอร์รูปแบบใหม่โดยกลุ่ม UNC5142 ซึ่งใช้เทคนิค “EtherHiding” บน BNB Smart Chain เพื่อซ่อนและส่งมัลแวร์ผ่าน smart contracts โดยไม่ต้องใช้เซิร์ฟเวอร์แบบเดิม
แทนที่จะโฮสต์มัลแวร์บนโดเมนหรือ IP ที่สามารถถูกบล็อกได้ UNC5142 ฝัง payload ไว้ใน smart contract ที่อยู่บนบล็อกเชน ซึ่งมีคุณสมบัติ “เปลี่ยนไม่ได้” และ “ลบไม่ได้” ทำให้การตรวจจับและการลบแทบเป็นไปไม่ได้
มัลแวร์เริ่มต้นจากการฝัง JavaScript บนเว็บไซต์ WordPress ที่ถูกเจาะ ซึ่งโหลดตัวดาวน์โหลดชื่อ CLEARSHORT — ตัวนี้จะเชื่อมต่อกับ BNB Smart Chain ผ่าน Web3.js เพื่อดึงสคริปต์ถัดไปจาก smart contract และแสดงหน้าต่างหลอกลวง เช่น “อัปเดตระบบ” หรือ “ตรวจสอบความปลอดภัย” เพื่อหลอกให้ผู้ใช้คลิก
ระบบ smart contract ที่ใช้มี 3 ชั้น:
1️⃣ ชั้นแรก: ทำหน้าที่เป็น router ชี้ไปยัง contract ถัดไป
2️⃣ ชั้นสอง: ทำ reconnaissance และ fingerprinting เหยื่อ
3️⃣ ชั้นสาม: เก็บ URL ของ payload และคีย์ AES สำหรับถอดรหัส
การอัปเดต payload หรือคีย์สามารถทำได้ด้วยธุรกรรมราคาถูก (ประมาณ $0.25–$1.50) โดยไม่ต้องเปลี่ยนโค้ดหลักของ contract — ทำให้ระบบมีความยืดหยุ่นสูงและต้นทุนต่ำ
UNC5142 ยังใช้ Cloudflare Pages เพื่อโฮสต์หน้า phishing เช่น reCAPTCHA ปลอม, หน้าความเป็นส่วนตัวปลอม, และหน้าตรวจสอบ bot ปลอม ซึ่งหลอกผู้ใช้ให้คลิกและติดมัลแวร์
มัลแวร์ที่ใช้มีหลายตัว เช่น:
CLEARSHORT: JavaScript downloader
VIDAR และ LUMMAC.V2: สำหรับ Windows
RADTHIEF: ขโมย credentials
ATOMIC: สำหรับ macOS — ใช้ bash script และ bypass quarantine
กลุ่มนี้ยังมีโครงสร้าง infrastructure แบบคู่ขนาน (Main และ Secondary) เพื่อหลบเลี่ยงการถูกปิดระบบ และใช้ wallet ที่เชื่อมโยงกับ OKX exchange ในการจ่ายค่าธุรกรรม
UNC5142 ใช้ EtherHiding บน BNB Smart Chain เพื่อแพร่มัลแวร์
ฝัง payload ใน smart contract ที่ลบไม่ได้
เริ่มต้นจากเว็บไซต์ WordPress ที่ถูกเจาะ
โหลด CLEARSHORT JavaScript downloader
ใช้ Web3.js เชื่อมต่อกับ smart contract เพื่อดึง payload
แสดงหน้าต่างหลอกลวงให้เหยื่อคลิก
Smart contract มี 3 ชั้น: router → reconnaissance → payload
อัปเดตได้ด้วยธุรกรรมราคาถูก
ใช้ Cloudflare Pages เพื่อโฮสต์หน้า phishing
เช่น reCAPTCHA ปลอม และหน้าตรวจสอบ bot
มัลแวร์ที่ใช้: CLEARSHORT, VIDAR, LUMMAC.V2, RADTHIEF, ATOMIC
ครอบคลุมทั้ง Windows และ macOS
โครงสร้าง infrastructure แบบคู่ขนาน (Main และ Secondary)
ใช้ wallet ที่เชื่อมโยงกับ OKX exchange
https://securityonline.info/unc5142-uses-etherhiding-to-deploy-malware-via-bnb-smart-chain-smart-contracts/
🛡️ “UNC5142 ใช้ EtherHiding บน BNB Smart Chain เพื่อแพร่มัลแวร์ — เมื่อบล็อกเชนกลายเป็นเครื่องมืออาชญากรรมไซเบอร์” — จาก WordPress สู่ Smart Contract: การโจมตีที่ล่องหนและยากจะหยุด
รายงานร่วมจาก Mandiant และ Google Threat Intelligence Group (GTIG) เปิดเผยการโจมตีไซเบอร์รูปแบบใหม่โดยกลุ่ม UNC5142 ซึ่งใช้เทคนิค “EtherHiding” บน BNB Smart Chain เพื่อซ่อนและส่งมัลแวร์ผ่าน smart contracts โดยไม่ต้องใช้เซิร์ฟเวอร์แบบเดิม
แทนที่จะโฮสต์มัลแวร์บนโดเมนหรือ IP ที่สามารถถูกบล็อกได้ UNC5142 ฝัง payload ไว้ใน smart contract ที่อยู่บนบล็อกเชน ซึ่งมีคุณสมบัติ “เปลี่ยนไม่ได้” และ “ลบไม่ได้” ทำให้การตรวจจับและการลบแทบเป็นไปไม่ได้
มัลแวร์เริ่มต้นจากการฝัง JavaScript บนเว็บไซต์ WordPress ที่ถูกเจาะ ซึ่งโหลดตัวดาวน์โหลดชื่อ CLEARSHORT — ตัวนี้จะเชื่อมต่อกับ BNB Smart Chain ผ่าน Web3.js เพื่อดึงสคริปต์ถัดไปจาก smart contract และแสดงหน้าต่างหลอกลวง เช่น “อัปเดตระบบ” หรือ “ตรวจสอบความปลอดภัย” เพื่อหลอกให้ผู้ใช้คลิก
ระบบ smart contract ที่ใช้มี 3 ชั้น:
1️⃣ ชั้นแรก: ทำหน้าที่เป็น router ชี้ไปยัง contract ถัดไป
2️⃣ ชั้นสอง: ทำ reconnaissance และ fingerprinting เหยื่อ
3️⃣ ชั้นสาม: เก็บ URL ของ payload และคีย์ AES สำหรับถอดรหัส
การอัปเดต payload หรือคีย์สามารถทำได้ด้วยธุรกรรมราคาถูก (ประมาณ $0.25–$1.50) โดยไม่ต้องเปลี่ยนโค้ดหลักของ contract — ทำให้ระบบมีความยืดหยุ่นสูงและต้นทุนต่ำ
UNC5142 ยังใช้ Cloudflare Pages เพื่อโฮสต์หน้า phishing เช่น reCAPTCHA ปลอม, หน้าความเป็นส่วนตัวปลอม, และหน้าตรวจสอบ bot ปลอม ซึ่งหลอกผู้ใช้ให้คลิกและติดมัลแวร์
มัลแวร์ที่ใช้มีหลายตัว เช่น:
🐛 CLEARSHORT: JavaScript downloader
🐛 VIDAR และ LUMMAC.V2: สำหรับ Windows
🐛 RADTHIEF: ขโมย credentials
🐛 ATOMIC: สำหรับ macOS — ใช้ bash script และ bypass quarantine
กลุ่มนี้ยังมีโครงสร้าง infrastructure แบบคู่ขนาน (Main และ Secondary) เพื่อหลบเลี่ยงการถูกปิดระบบ และใช้ wallet ที่เชื่อมโยงกับ OKX exchange ในการจ่ายค่าธุรกรรม
✅ UNC5142 ใช้ EtherHiding บน BNB Smart Chain เพื่อแพร่มัลแวร์
➡️ ฝัง payload ใน smart contract ที่ลบไม่ได้
✅ เริ่มต้นจากเว็บไซต์ WordPress ที่ถูกเจาะ
➡️ โหลด CLEARSHORT JavaScript downloader
✅ ใช้ Web3.js เชื่อมต่อกับ smart contract เพื่อดึง payload
➡️ แสดงหน้าต่างหลอกลวงให้เหยื่อคลิก
✅ Smart contract มี 3 ชั้น: router → reconnaissance → payload
➡️ อัปเดตได้ด้วยธุรกรรมราคาถูก
✅ ใช้ Cloudflare Pages เพื่อโฮสต์หน้า phishing
➡️ เช่น reCAPTCHA ปลอม และหน้าตรวจสอบ bot
✅ มัลแวร์ที่ใช้: CLEARSHORT, VIDAR, LUMMAC.V2, RADTHIEF, ATOMIC
➡️ ครอบคลุมทั้ง Windows และ macOS
✅ โครงสร้าง infrastructure แบบคู่ขนาน (Main และ Secondary)
➡️ ใช้ wallet ที่เชื่อมโยงกับ OKX exchange
https://securityonline.info/unc5142-uses-etherhiding-to-deploy-malware-via-bnb-smart-chain-smart-contracts/
0 ความคิดเห็น
0 การแบ่งปัน
20 มุมมอง
0 รีวิว
English