HackerNews 编译,转载请注明出处:
经观察,代号为 UNC5142、以经济利益为动机的威胁行为体,正滥用区块链智能合约分发信息窃取器,涉及 Atomic(AMOS)、Lumma、Rhadamanthys(又称 RADTHIEF)及 Vidar 等类型,攻击目标涵盖 Windows 和苹果 macOS 系统。
谷歌威胁情报小组(GTIG)在提交给《黑客新闻》(The Hacker News)的报告中表示:“UNC5142 的显著特征是,利用受入侵的 WordPress 网站和‘EtherHiding’技术 —— 这种技术通过将恶意代码或数据存储在公共区块链(如币安智能链 BSC)上实现隐藏。”
谷歌指出,截至 2025 年 6 月,已标记约 1.4 万个包含注入式 JavaScript 的网页,这些脚本表现出与 UNC5142 相关的行为,表明该团伙在无差别攻击存在漏洞的 WordPress 网站。但这家科技巨头同时提到,自 2025 年 7 月 23 日起,未再发现任何 UNC5142 的活动痕迹,这一现象可能意味着其行动暂停,也可能是运营方向发生转变。
EtherHiding 技术最早由 Guardio Labs 于 2023 年 10 月记录在案。当时该实验室详细披露了一系列攻击事件:受感染网站会弹出虚假浏览器更新提示,攻击者通过这些网站利用币安智能链(BSC)合约分发恶意代码。
支撑整个攻击链的关键组件,是一款名为 CLEARSHORT 的多阶段 JavaScript 下载器,它能通过被入侵网站分发恶意软件。攻击流程分为两个主要阶段:第一阶段是将 JavaScript 恶意代码注入目标网站,该代码会与存储在币安智能链(BSC)上的恶意智能合约交互,获取第二阶段内容;第一阶段恶意代码通常被添加到网站的插件相关文件、主题文件中,部分情况下甚至直接注入 WordPress 数据库。
而智能合约的作用是,从外部服务器获取 CLEARSHORT 的钓鱼落地页。该落地页会采用 “ClickFix” 社会工程策略,诱骗受害者在 Windows 的 “运行” 对话框(或 macOS 的 “终端” 应用)中执行恶意命令,最终使系统感染窃取器恶意软件。自 2024 年 12 月起,这些落地页(通常托管在 Cloudflare 的.dev 域名下)开始以加密格式传输。
在 Windows 系统中,恶意命令会触发执行一个从 MediaFire 链接下载的 HTML 应用程序(HTA 文件)。该文件随后释放 PowerShell 脚本以绕过防御机制,从 GitHub、MediaFire 或攻击者自身基础设施(部分情况下)获取加密的最终载荷,并直接在内存中运行窃取器,不在磁盘上留下文件痕迹。
在 2025 年 2 月至 4 月针对 macOS 系统的攻击中,攻击者利用 ClickFix 诱饵,诱导用户在终端中运行一条 bash 命令,该命令会获取一个 shell 脚本。脚本随后通过 curl 命令,从远程服务器下载 Atomic 窃取器载荷。
经分析,CLEARSHORT 被认定为 ClearFake 的变体。2025 年 3 月,法国网络安全公司 Sekoia 曾对 ClearFake 进行深入分析。ClearFake 是一套部署在受入侵网站上的恶意 JavaScript 框架,通过 “无交互下载” 技术分发恶意软件,自 2023 年 7 月起开始活跃,2024 年 5 月前后其攻击活动中开始采用 ClickFix 策略。
滥用区块链技术为 UNC5142 带来多重便利:这种巧妙的技术不仅能混入正常的 Web3 活动,还能提升 UNC5142 运营的韧性,使其更难被检测和溯源打击。
谷歌表示,过去一年间,该威胁行为体的攻击活动不断演进:2024 年 11 月起,从 “单一合约系统” 升级为更复杂的 “三智能合约系统”,以提升运营灵活性;2025 年 1 月初,这套系统又经历了进一步优化。
谷歌解释道:“新架构借鉴了合法软件设计中的‘代理模式’—— 开发者通常用这种模式实现合约的可升级性。”
“该架构本质上是一套高效的‘路由 - 逻辑 - 存储’体系,每个合约承担特定功能。这种设计能让攻击者快速更新攻击中的关键部分(如落地页 URL 或解密密钥),且无需修改受入侵网站上的 JavaScript 代码。最终使攻击活动更灵活,且更难被溯源打击。”
UNC5142 实现这一点的关键,在于利用智能合约数据的可修改性(需注意,程序代码一旦部署便不可更改)来修改载荷 URL。执行这类更新所需的网络费用,通常在 0.25 美元至 1.50 美元之间。
进一步分析发现,该威胁行为体使用两套独立的智能合约基础设施,借助 CLEARSHORT 下载器分发窃取器恶意软件。其中,“主基础设施”(Main)创建于 2024 年 11 月 24 日;“次要基础设施”(Secondary)则是并行架构,于 2025 年 2 月 18 日完成资金注入。
GTIG 表示:“主基础设施是核心攻击基础设施,特点是创建时间早、更新频率稳定。次要基础设施则是并行的战术性部署,推测用途包括支持特定时期的攻击激增需求、测试新型诱饵,或单纯增强运营韧性。”
“过去一年半里,该团伙的感染链频繁更新、运营节奏稳定、受入侵网站数量庞大、分发的恶意软件类型多样。种种迹象表明,UNC5142 的攻击活动很可能已取得一定程度的成功。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
