북한, 블록체인에 숨겨진 국가 주도 악성코드 'EtherHiding' 채택

해당 블로그의 원문은 2025년 10월 17일 Google Cloud 블로그(영문)에 게재되었습니다. 

작성자: Blas Kojusner, Robert Wallace, Joseph Dobson

Google 위협 인텔리전스 그룹(GTIG)은 북한(DPRK) 위협 행위자 UNC5342가 악성코드를 배포하고 암호화폐 탈취를 용이하게 하는 데 'EtherHiding'을 사용하는 것을 포착했습니다. 이는 GTIG가 국가 주도 행위자가 이 방식을 채택하는 것을 관찰한 최초의 사례입니다. 이 게시물은 공개 블록체인의 트랜잭션을 활용하여 악성 페이로드를 저장하고 검색하는 기법인 EtherHiding을 사용하는 적들에 대한 2부작 블로그 시리즈 중 일부이며, 기존의 테이크다운 및 차단 목록(blocklisting) 노력에 대한 복원력이 뛰어난 것으로 주목받고 있습니다. EtherHiding을 악성코드 배포에 악용하는 UNC5142 캠페인에 대해 읽어보십시오.

GTIG는 2025년 2월부터 UNC5342가 EtherHiding을 Palo Alto Networks에 의해 'Contagious Interview(전염성 면접)'로 명명된 진행 중인 사회공학 캠페인에 통합하는 것을 추적해 왔습니다. 이 캠페인에서 해당 행위자는 JADESNOW 악성코드를 사용하여 INVISIBLEFERRET의 JavaScript 변종을 배포했으며, 이는 수많은 암호화폐 강탈로 이어졌습니다.

EtherHiding 작동 방식

EtherHiding은 2023년 9월에 금전적 동기의 CLEARFAKE 캠페인(UNC5142)의 핵심 구성 요소로 등장했으며, 이 캠페인은 가짜 브라우저 업데이트 프롬프트와 같은 기만적인 오버레이를 사용하여 사용자를 조작해 악성 코드를 실행하도록 합니다.

EtherHiding은 종종 JavaScript 페이로드 형태의 악성 코드를 BNB Smart Chain 또는 Ethereum과 같은 공개 블록체인의 스마트 계약 내에 임베딩하는 것을 포함합니다. 이 접근 방식은 본질적으로 블록체인을 분산되고 복원력이 매우 뛰어난 명령 및 제어(C2) 서버로 전환시킵니다.

일반적인 공격 체인은 다음과 같이 전개됩니다.

1. 초기 침해: 북한 위협 행위자는 일반적으로 초기 침해를 위해 사회공학 기법을 활용합니다(예: 가짜 구직 면접, 암호화폐 게임 등). 또한, CLEARFAKE 캠페인의 경우 공격자는 취약점이나 도난당한 자격 증명을 통해 합법적인 웹사이트, 흔히 워드프레스 사이트에 먼저 접근합니다.

2. 로더 스크립트 주입: 공격자는 "로더(loader)"라고 불리는 작은 JavaScript 코드를 침해된 웹사이트에 주입합니다.

3. 악성 페이로드 가져오기: 사용자가 침해된 웹사이트를 방문하면 로더 스크립트가 브라우저에서 실행됩니다. 이 스크립트는 블록체인과 통신하여 원격 서버에 저장된 주요 악성 페이로드를 검색합니다. 이 단계의 핵심 측면은 블록체인에 트랜잭션을 생성하지 않는 읽기 전용 함수 호출(예: eth_call)을 사용한다는 것입니다. 이는 악성코드 검색이 은밀하게 이루어지도록 보장하고 트랜잭션 수수료(즉, 가스 수수료)를 피하게 합니다.

4. 페이로드 실행: 검색된 악성 페이로드는 피해자의 컴퓨터에서 실행됩니다. 이는 가짜 로그인 페이지 표시, 정보 탈취 악성코드 설치, 또는 랜섬웨어 배포와 같은 다양한 악성 활동으로 이어질 수 있습니다.

공격자에게 유리한 이점

EtherHiding은 공격자에게 몇 가지 중요한 이점을 제공하며, 이는 이 기법을 완화하기 특히 어려운 위협으로 만듭니다.

• 분산화 및 복원력: 악성 코드가 분산되고 허가 없는(permissionless) 블록체인에 저장되어 있기 때문에 법 집행 기관이나 사이버 보안 회사가 테이크다운할 수 있는 중앙 서버가 없습니다. 악성 코드는 블록체인 자체가 작동하는 한 접근 가능하게 유지됩니다.

• 익명성: 블록체인 트랜잭션의 가명성(pseudonymous) 특성으로 인해 스마트 계약을 배포한 공격자의 신원을 추적하기 어렵습니다.

• 불변성: 스마트 계약이 일단 배포되면 그 안에 포함된 악성 코드는 일반적으로 계약 소유자 외에는 누구도 쉽게 제거하거나 변경할 수 없습니다. 

• 은밀성: 공격자는 블록체인에 눈에 띄는 트랜잭션 기록을 남기지 않는 읽기 전용 호출을 사용하여 악성 페이로드를 검색할 수 있으므로 활동 추적이 더욱 어렵습니다.

• 유연성: 스마트 계약을 제어하는 공격자는 언제든지 악성 페이로드를 업데이트할 수 있습니다. 이를 통해 스마트 계약을 업데이트하는 것만으로 공격 방식을 변경하거나, 도메인을 업데이트하거나, 침해된 웹사이트에 동시에 다른 유형의 악성코드를 배포할 수 있습니다.

본질적으로 EtherHiding은 차세대 방탄 호스팅(next-generation bulletproof hosting)으로의 전환을 의미하며, 블록체인 기술의 고유한 특징이 악의적인 목적으로 재사용됩니다. 이 기법은 공격자들이 새로운 기술을 자신들의 이점을 위해 채택하고 악용함에 따라 사이버 위협이 지속적으로 진화하고 있음을 강조합니다.

북한의 사회공학 캠페인

북한의 사회공학 캠페인은 구직 및 면접 절차를 교묘하게 악용하는 정교하고 지속적인 사이버 첩보 활동 및 금전적 이익을 목적으로 하는 작전입니다. 이 캠페인은 특히 암호화폐 및 기술 부문의 개발자들을 표적으로 삼아 민감한 데이터, 암호화폐를 탈취하고 기업 네트워크에 대한 영구적인 접근 권한을 획득하는 것을 목표로 합니다.

이 캠페인은 북한의 전략적 목표와 일치하는 이중 목적을 가지고 있습니다.

• 한국어 번역: 금전적 이익: 주된 목표는 정권의 수입을 창출하고 국제 제재를 우회하는 데 도움이 되도록 암호화폐 및 기타 금융 자산을 훔치는 것입니다.

• 한국어 번역: 첩보 활동: 개발자들을 침해함으로써, 이 캠페인은 가치 있는 정보를 수집하고 향후 작전을 위해 기술 회사 내부에 잠재적인 발판을 마련하는 것을 목표로 합니다.

이 캠페인은 합법적인 채용 절차를 모방하는 정교한 사회공학 전술이 특징입니다.

1. 피싱 유인책

• 한국어 번역: 가짜 채용 담당자와 회사: 위협 행위자들은 LinkedIn과 같은 전문 네트워킹 사이트 및 채용 게시판에 설득력 있지만 사기성 프로필을 만듭니다. 그들은 종종 잘 알려진 기술 또는 암호화폐 회사의 채용 담당자를 사칭합니다.

• 한국어 번역: 조작된 회사: 일부 사례에서는 "BlockNovas LLC," "Angeloper Agency," "SoftGlideLLC"와 같은 실체를 위해 가짜 회사 웹사이트와 소셜 미디어 존재를 설정하여 합법적으로 보이게 하는 데까지 나아갔습니다.

• 한국어 번역: 표적 아웃리치: 그들은 소프트웨어 및 웹 개발자와 같은 잠재적인 피해자들에게 매력적인 일자리를 제안하며 공격적으로 접촉합니다

2. 면접 절차

• 초기 접촉: 가짜 채용 담당자들은 지원자들과 소통하며, 종종 대화를 Telegram 또는 Discord와 같은 플랫폼으로 옮깁니다.

• 악의적인 작업: 공격의 핵심은 기술 평가 단계에서 발생합니다. 지원자들은 코딩 테스트를 수행하거나 프로젝트를 검토하도록 요청받는데, 이는 GitHub와 같은 저장소에서 파일을 다운로드해야 합니다. 이 파일들에는 악성 코드가 포함되어 있습니다.

• 기만적인 도구: 다른 변종에서는 지원자들이 화상 면접에 초대되며, 진행을 위해 가상의 "수정 파일" 또는 특정 소프트웨어를 다운로드하도록 요구하는 가짜 오류 메시지(ClickFix라는 기법)가 표시되는데, 이는 실제로는 악성코드입니다.

3. 감염 체인

이 캠페인은 피해자의 시스템을 침해하기 위해 다단계 악성코드 감염 과정을 사용하며, 종종 Windows, macOS, Linux 시스템에 영향을 미칩니다.

• 초기 다운로더 (예: JADESNOW): 피해자가 다운로드하는 악성 패키지는 종종 npm(Node Package Manager) 레지스트리에 호스팅됩니다. 이 로더는 초기 시스템 정보를 수집하고 다음 단계의 악성코드를 다운로드할 수 있습니다.

• 2단계 악성코드 (예: EAVERTAIL, JADESNOW): 이 JavaScript 기반 악성코드는 암호화폐 지갑, 브라우저 확장 데이터 및 자격 증명에 특별히 초점을 맞춰 민감한 데이터를 검색하고 외부로 유출하도록 설계되었습니다. 공격 사슬에 JADESNOW가 추가된 것은 UNC5342가 3단계 백도어 INVISIBLEFERRET를 제공하기 위해 EtherHiding으로 전환했음을 의미합니다.

• 3단계 백도어 (예: INVISIBLEFERRET): 고가치 표적을 위해 더 영구적인 백도어가 배포됩니다. Python 기반 백도어인 INVISIBLEFERRET은 공격자에게 침해된 시스템에 대한 원격 제어 권한을 제공하여 장기적인 첩보 활동, 데이터 탈취 및 네트워크 내 측면 이동(lateral movement)을 가능하게 합니다.

JADESNOW

JADESNOW는 위협 클러스터 UNC5342와 관련된 JavaScript 기반 다운로더 악성코드 계열입니다. JADESNOW는 EtherHiding을 활용하여 BNB Smart Chain 및 Ethereum의 스마트 계약에서 악성 페이로드를 가져오고, 복호화하고, 실행합니다. 스마트 계약에 저장된 입력 데이터는 Base64로 인코딩되고 XOR로 암호화될 수 있습니다. JADESNOW 감염 사슬의 최종 페이로드는 일반적으로 INVISIBLEFERRET.JAVASCRIPT와 같은 더 영구적인 백도어입니다.

JADESNOW의 배포 및 관리는 CLEARFAKE와 같이 EtherHiding을 구현하는 유사 캠페인과 다릅니다. 위협 클러스터 UNC5142와 관련된 CLEARFAKE 캠페인은 악의적인 JavaScript 프레임워크로 기능하며, 침해된 웹사이트에서 종종 Google Chrome 브라우저 업데이트 팝업으로 위장합니다. 임베딩된 JavaScript의 주요 기능은 사용자가 "Chrome 업데이트" 버튼을 클릭한 후 페이로드를 다운로드하는 것입니다. 2단계 페이로드는 BNB Smart Chain에 저장된 또 다른 Base64 인코딩된 JavaScript입니다. 최종 페이로드는 이미지나 구성 파일과 같은 합법적인 업데이트의 일부를 구성하는 다른 파일과 함께 묶일 수 있지만, 악성코드 자체는 일반적으로 LUMASTEALER와 같은 정보 탈취 악성코드(infostealer)입니다.

그림 1은 사회공학 공격 사슬의 일반적인 개요를 보여줍니다. 피해자는 악의적인 면접 질문을 받고, 이는 피해자를 속여 악성 스마트 계약과 상호 작용하고 2단계 페이로드를 다운로드하는 초기 JavaScript 다운로더를 실행하는 코드를 실행하게 합니다. 스마트 계약은 Ethereum과 상호 작용하여 3단계 페이로드(이 경우 INVISIBLEFERRET.JAVASCRIPT)를 가져오는 JADESNOW 다운로더를 호스팅합니다. 페이로드는 메모리에서 실행되며 추가적인 자격 증명 탈취 구성 요소를 위해 Ethereum에 쿼리할 수 있습니다. 위협 행위자가 EtherHiding 활동을 위해 여러 블록체인을 사용하는 것은 이례적이며, 이는 북한 사이버 운영팀 간의 작전 구획화(operational compartmentalization)를 나타낼 수 있습니다. 마지막으로, 캠페인은 EtherHiding의 유연한 특성을 자주 활용하여 감염 사슬을 업데이트하고 페이로드 전달 위치를 변경합니다. 단 한 번의 트랜잭션으로 JADESNOW 다운로더는 Ethereum에서 페이로드를 가져오는 것에서 BNB Smart Chain에서 가져오는 것으로 전환할 수 있습니다. 이러한 전환은 분석을 복잡하게 할 뿐만 아니라 대체 네트워크에서 제공하는 더 낮은 거래 수수료를 활용합니다.

악성 스마트 계약 (Malicious Smart Contracts)

BNB Smart Chain과 Ethereum은 모두 탈중앙화 애플리케이션(dApps)과 스마트 계약을 실행하도록 설계되었습니다. 스마트 계약은 특정 조건이나 합의가 충족될 때 자동으로 행동을 실행하는 블록체인 상의 코드이며, 중개자 없이 안전하고 투명하며 자동화된 합의를 가능하게 합니다. 스마트 계약은 바이트코드로 컴파일되어 블록체인에 업로드되며, 분석을 위해 역어셈블(disassemble)할 수 있도록 공개적으로 이용 가능합니다.

BNB Smart Chain은 Ethereum과 마찬가지로 Ethereum Virtual Machine(EVM)을 위해 프로그래밍된 스마트 계약을 지원하는 분산되고 허가 없는 블록체인 네트워크입니다. 스마트 계약은 탈중앙화 애플리케이션을 구축하는 혁신적인 방법을 제공하지만, 그들의 불변적인 특성은 EtherHiding에서 악성 코드를 쉽게 차단할 수 없는 방식으로 호스팅하고 제공하는 데 악용됩니다.

EtherHiding 목적으로 Ethereum과 BNB Smart Chain을 사용하는 것은 블록체인에서 맞춤형 스마트 계약을 호출하는 것에 불과하므로 간단합니다. UNC5342가 블록체인 네트워크와 상호 작용하는 방식은 CLEARFAKE에서 볼 수 있었던 원격 프로시저 호출(RPC) 엔드포인트를 통하는 대신 중앙화된 API 서비스 제공업체를 통해 이루어집니다. GTIG가 연락했을 때, 책임 있는 API 서비스 제공업체들은 이 악의적인 활동에 대해 신속하게 조치를 취했습니다. 그러나 다른 여러 플랫폼들은 무응답 상태로 남아있습니다. 이러한 무관심과 협력 부족은 위협 행위자들 사이에서 이 기법이 확산될 위험을 높이기 때문에 심각한 우려 사항입니다.

JADESNOW 온체인 분석

초기 다운로더는 Binplorer를 포함한 다양한 API 제공업체를 통해 BNB Smart Chain에 쿼리하여 스마트 계약 주소 0x8eac3198dd72f3e07108c4c7cff43108ad48a71c에 저장된 JADESNOW 페이로드를 읽어옵니다.

그림 2는 트랜잭션 기록에서 스마트 계약에 저장된 데이터를 읽기 위한 API 호출의 예입니다. 트랜잭션 세부 정보에 따르면, 이 계약은 첫 4개월 동안 20회 이상 업데이트되었으며, 각 업데이트에는 평균 1.37달러의 가스 수수료가 들었습니다. 이러한 업데이트의 저렴한 비용과 빈도는 공격자가 캠페인의 구성을 쉽게 변경할 수 있는 능력을 보여줍니다. 이 스마트 계약은 또한 2025년 6월에 침해된 npm 패키지를 통해 React Native Aria 및 GlueStack에 영향을 미친 소프트웨어 공급망 공격과도 연관되었습니다.

{
    timestamp: 1738949853,
    transactionHash: "0x5c77567fcf00c317b8156df8e00838105f16fdd4fbbc6cd83d624225397d8856",
    tokenInfo: {
        address: "0x8eac3198dd72f3e07108c4c7cff43108ad48a71c",
        (...)
        owner: "0x9bc1355344b54dedf3e44296916ed15653844509",
        (...)
        txsCount: 22,
        (...)
    },
    type: "issuance",
    value: "1",
    priority: 127,
    address: "0x9bc1355344b54dedf3e44296916ed15653844509"
}

그림 2: 트랜잭션 기록을 위한 ABI 호출

BscScan(BNB Smart Chain용) 및 Etherscan(Ethereum용)과 같은 블록체인 탐색기는 스마트 계약 코드와 해당 계약으로의 또는 계약으로부터의 과거 트랜잭션과 같은 온체인 정보를 검토하는 데 필수적인 도구입니다. 이러한 트랜잭션에는 변수 이름, 유형, 그리고 해당 변수에 저장된 데이터와 같은 입력 데이터가 포함될 수 있습니다. 그림 3은 트랜잭션 주소 0x5c77567fcf00c317b8156df8e00838105f16fdd4fbbc6cd83d624225397d8856에서의 온체인 활동을 보여주며, 여기서 데이터(Data) 필드는 Base64로 인코딩되고 XOR로 암호화된 메시지를 포함하고 있습니다. 이 메시지는 GTIG가 2단계 다운로더인 JADESNOW로 평가하는 고도로 난독화된 JavaScript 페이로드로 복호화됩니다.

트랜잭션을 비교해 보면, 런처 관련 코드는 그대로 유지되지만, 다음 단계 페이로드는 새로운 난독화된 페이로드로 자주 업데이트됩니다. 이 경우, 난독화된 페이로드는 메모리에서 실행되며, Ethereum상의 다른 트랜잭션 해시로 API 호출을 형성하도록 결합된 문자열 배열을 복호화합니다. 이러한 다른 네트워크로의 전환(pivot)은 주목할 만합니다. 공격자들은 페이로드를 저장하기 위해 Ethereum 스마트 계약을 사용하지 않습니다. 대신, GET 요청을 수행하여 자신들이 통제하는 주소의 트랜잭션 기록을 쿼리하고, 잘 알려진 "소각(burn)" 주소 0x00…dEaD로 전송된 트랜잭션에 저장된 호출 데이터(calldata)를 읽어옵니다.

이러한 트랜잭션의 최종 주소는 악성코드가 트랜잭션의 세부 정보에 저장된 데이터만 읽기 때문에 중요하지 않으며, 이는 블록체인 트랜잭션을 데드 드롭 리졸버(Dead Drop Resolver)로 효과적으로 사용함을 의미합니다. 이러한 트랜잭션은 자주 생성되며, 이는 단순한 블록체인 트랜잭션을 통해 C2 서버 변경을 포함하여 캠페인을 얼마나 쉽게 업데이트할 수 있는지를 보여줍니다.

메모리 내 페이로드는 다양한 블록체인 탐색기 API를 통해 Ethereum에 쿼리하여 온체인에 저장된 정보를 가져오고 평가합니다. 여러 탐색기(Blockchair, Blockcypher, Ethplorer 포함)에 동시적으로 쿼리하는데, 이는 페이로드 검색을 보장하기 위한 장애 복구(fail-safe) 방식일 가능성이 높습니다. Ethplorer가 개발 목적으로 제공하는 apiKey=freekey와 같은 무료 API 키 사용은 엄격한 사용 제한에도 불구하고 JADESNOW 작전에 충분합니다.

페이로드 분석

3단계는 Ethereum 트랜잭션 주소 0x86d1a21fd151e344ccc0778fd018c281db9d40b6ccd4bdd3588cb40fade1a33a에 저장된 INVISIBLEFERRET.JAVASCRIPT 페이로드입니다. 이 페이로드는 MySQL의 기본 포트인 포트 3306을 통해 C2 서버에 연결됩니다. 이는 피해자의 호스트 이름, 사용자 이름, 운영 체제, 그리고 백도어가 현재 실행 중인 디렉터리를 포함하는 초기 비콘(beacon)을 전송합니다. 백도어는 백그라운드에서 실행을 계속하며 C2로 들어오는 명령을 수신 대기합니다. 명령 처리기는 임의의 명령 실행을 처리하고, 디렉터리를 변경하는 내장 명령을 실행하며, 피해자 시스템에서 파일, 디렉터리 및 하위 디렉터리를 외부로 유출(exfiltrate)할 수 있습니다.

INVISIBLEFERRET.JAVASCRIPT 페이로드는 트랜잭션 주소 0xc2da361c40279a4f2f84448791377652f2bf41f06d18f19941a96c720228cd0f에서 이루어진 것처럼 다른 구성 요소로 분할될 수도 있습니다. 분할된 JavaScript 페이로드는 INVISIBLEFERRET.JAVASCRIPT 백도어를 실행하고, 트랜잭션 주소 0xf9d432745ea15dbc00ff319417af3763f72fcf8a4debedbfceeef4246847ce41에 저장된 추가적인 자격 증명 탈취 구성 요소를 실행하기 위해 휴대용 Python 인터프리터를 설치하려고 시도합니다. 이 추가 자격 증명 탈취 구성 요소는 Google Chrome 및 Microsoft Edge와 같은 웹 브라우저를 표적으로 삼아 저장된 암호, 세션 쿠키 및 신용 카드를 외부로 유출합니다. INVISIBLEFERRET.JAVASCRIPT 자격 증명 탈취 구성 요소는 또한 MetaMask 및 Phantom과 같은 암호화폐 지갑뿐만 아니라 암호 관리자(예: 1Password)와 같은 다른 민감한 애플리케이션의 자격 증명도 표적으로 삼습니다. 데이터는 ZIP 아카이브로 압축되어 공격자가 통제하는 원격 서버와 비공개 Telegram 채팅에 업로드됩니다.

EtherHiding의 중앙 집중식 의존성 (The Centralized Dependencies in EtherHiding)

탈중앙화는 블록체인 네트워크 및 기타 Web3 기술의 핵심 원칙입니다. 그러나 실제로는 중앙 집중식 서비스가 자주 사용되며, 이는 기회와 위험을 모두 가져옵니다. BNB Smart Chain과 같은 블록체인은 불변적(immutable)이고 허가 불필요(permissionless)하며 이러한 블록체인에 배포된 스마트 계약은 제거될 수 없지만, 이들 블록체인을 사용하는 위협 행위자들의 작전이 멈출 수 없는 것은 아닙니다.

북한의 UNC5342나 위협 행위자 UNC5142 모두 스마트 계약에서 정보를 검색할 때 BNB Smart Chain과 직접 상호 작용하지 않습니다. 두 위협 행위자 모두 웹 호스팅과 같은 전통적인 Web2 서비스를 사용하는 것과 유사하게 중앙 집중식 서비스를 활용하고 있습니다. 이는 영리한 방어자들에게 이러한 위협을 완화할 수 있는 기회를 제공합니다. 이러한 중앙 집중식 중개자들은 관찰 및 통제 지점을 나타내며, 여기서 트래픽을 모니터링하고 차단, 계정 정지 또는 기타 방법을 통해 악의적인 활동을 처리할 수 있습니다. 즉, UNC5142와 UNC5342는 허가형 서비스(permissioned services)를 사용하여 무허가형 블록체인(permissionless blockchains)과 상호 작용하고 있는 것입니다.

이러한 위협 행위자들은 블록체인 네트워크와의 인터페이스를 위해 중앙 집중식 서비스를 활용하는 두 가지 다른 접근 방식을 보여줍니다.

1. UNC5142(CLEARFAKE)는 EtherHiding 활동에서 RPC 엔드포인트를 사용합니다. 이는 블록체인 노드의 "모국어(native tongue)"에 가까운 방식으로 제3자가 호스팅하는 BNB Smart Chain 노드와 직접 통신할 수 있게 합니다. 

2. UNC5342(북한)는 중앙 집중식 주체가 호스팅하는 API 서비스를 사용하며, 이는 위협 행위자와 블록체인 사이의 추상화 계층 역할을 합니다.

이러한 차이가 미묘하긴 하지만, 이러한 중개 서비스들은 위협 행위자 작전에 직접적인 영향을 미칠 위치에 있습니다. 이러한 작전에서 관찰되지 않은 또 다른 접근 방식은 블록체인 네트워크와 완전히 통합되는 노드를 직접 운영하는 것입니다. 전체 노드를 실행하는 것은 자원 집약적이고, 동기화가 느리며, 추적 가능한 상당한 하드웨어 및 네트워크 흔적을 생성하여 사이버 작전에는 번거롭고 위험한 도구입니다.

권장 사항

EtherHiding은 전통적인 캠페인이 일반적으로 알려진 도메인과 IP를 차단함으로써 중단되었기 때문에 새로운 도전 과제를 제시합니다. 악성코드 작성자들은 스마트 계약이 자율적으로 작동하고 종료될 수 없기 때문에 블록체인을 활용하여 추가적인 악성코드 전파 단계를 수행할 수 있습니다.

보안 연구원들이 공식 블록체인 스캐너(그림 5의 BscScan 경고와 같은)에 계약을 악의적인 것으로 태그하여 커뮤니티에 경고하려고 시도하더라도, 악의적인 활동은 여전히 수행될 수 있습니다.

Chrome Enterprise: 중앙 집중식 완화

Chrome Enterprise는 중앙 집중식 관리 기능을 사용하여 공격 사슬을 직접적으로 방해하는 정책을 시행함으로써 EtherHiding의 영향을 방지하는 강력한 도구가 될 수 있습니다. 이 접근 방식은 보안을 개별 사용자의 재량에 의존하는 것에서 벗어나 중앙 집중식의 자동화된 시스템의 손에 맡깁니다.

Chrome Enterprise의 핵심 강점은 Chrome Browser Cloud Management에 있습니다. 이 플랫폼을 통해 관리자는 조직 내의 모든 관리되는 브라우저에 걸쳐 보안 정책을 구성하고 시행할 수 있으며, 사용자의 위치나 장치에 관계없이 일관된 보호를 보장합니다.

EtherHiding의 경우, 이는 관리자가 개별 사용자가 올바른 보안 결정을 내리는 것에 의존하지 않는 방어 전략을 배포할 수 있음을 의미합니다.

주요 방지 정책 및 전략

관리자는 특정 정책을 사용하여 여러 지점에서 EtherHiding 공격을 차단할 수 있습니다.

1. 악성 다운로드 차단

이는 공격을 막는 가장 직접적이고 효과적인 방법입니다. EtherHiding 캠페인의 최종 단계는 사용자에게 악성 파일(예: 가짜 업데이트 프롬프트에서)을 다운로드하고 실행하도록 요구합니다. Chrome Enterprise는 이를 완전히 방지할 수 있습니다.

• DownloadRestrictions 정책: 관리자는 이 정책을 구성하여 위험한 파일 유형의 다운로드를 차단할 수 있습니다. 이 정책을 .exe, .msi, .bat, .dll 같은 파일 유형을 차단하도록 설정하면 악성 페이로드가 사용자 컴퓨터에 저장될 수 없으므로 공격을 효과적으로 중단시킬 수 있습니다.

2. 브라우저 업데이트 자동화 및 관리

EtherHiding은 사회공학에 크게 의존하며, 특히 사용자에게 "Chrome이 오래되었습니다"라고 알리는 팝업을 사용합니다. 관리되는 기업 환경에서는 이것이 즉각적인 위험 신호가 되어야 합니다.

• Managed Updates: 관리자는 Chrome Enterprise를 사용하여 브라우저 업데이트를 제어하고 자동화합니다. 업데이트는 백그라운드에서 자동으로 조용히 푸시됩니다.

• 사용자 교육: 업데이트가 관리되므로, 직원들은 간단하고 강력한 메시지인 "Chrome을 수동으로 업데이트하라는 요청을 받지 않을 것입니다"로 교육받을 수 있습니다. 그러한 요청은 사기로 간주되어 주요 사회공학 전술을 무력화시킵니다.

3. 웹 액세스 및 스크립트 제어

공격자들이 끊임없이 인프라를 변경하더라도, 정책은 여전히 초기 공격 표면을 줄일 수 있습니다.

• URLBlocklist 정책: 관리자는 알려진 악성 웹사이트, 도메인, 또는 위협 인텔리전스에 의해 식별된 블록체인 노드의 URL에 대한 액세스까지 차단할 수 있습니다.

• Safe Browsing: 정책은 Google 세이프 브라우징을 가장 향상된 모드로 시행할 수 있으며, 이는 실시간 위협 인텔리전스를 사용하여 사용자에게 피싱 사이트 및 악성 다운로드에 대해 경고합니다.

감사의 글

이 분석은 Google 위협 인텔리전스 그룹 전반(Koreas Mission, FLARE, Advanced Practices 포함)의 도움이 없었다면 불가능했을 것입니다.

침해 지표 (Indicators of Compromise)

YARA 탐지

rule G_Downloader_JADESNOW_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$s1 = "global['_V']"
		$s2 = "global['r']"
		$s3 = "umP"
		$s4 = "mergeConfig"
		$s5 = "charAt" nocase
	condition:
		uint16(0) != 0x5A4D and filesize < 10KB and #s3 > 2 and #s5 == 1 and all of them
}