СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
09.11.2025
#Dev#ИБ#Инфра

Кросс‑цепной TxDataHiding: устойчивая C2‑инфраструктура в TRON, Aptos, BSC

В отчёте описана масштабная и технически изощрённая киберкампания, связываемая с активностью Северной Кореи. Её ключевая особенность — применение инновационных методов TxDataHiding для построения устойчивой распределённой инфраструктуры командования и контроля (C2) в нескольких блокчейн‑средах, включая TRON, Aptos и Binance Smart Chain (BSC).

Ключевая идея атаки

Атакующие используют блокчейны не просто как средство финансовых операций, а как скрытое хранилище и транспорт для вредоносного содержимого. Данные маскируются и распределяются по нескольким цепочкам — в том числе в store-smarts (хранение в смарт‑контрактах), в данных транзакций и посредством кросс‑цепных механизмов. Такой подход повышает живучесть инфраструктуры и резко усложняет традиционные методы обнаружения и удаления.

Как работает кросс‑цепной TxDataHiding

Схема коммуникации устроена следующим образом:

  • адреса в одних цепочках выступают как указатели (pointers) на вредоносные полезные нагрузки, хранящиеся в BSC;
  • вредоносное ПО сначала запрашивает TRON или Aptos, извлекает хэши транзакций, затем использует эти хэши для получения и расшифровки зашифрованных данных в BSC;
  • если API одной цепочки недоступен или блокирован, malware плавно переключается на другую цепочку, обеспечивая избыточность и устойчивость C2.

Именно такая *децентрализованная* архитектура делает кампанию сложной для перехвата и нейтрализации: злоумышленники могут публиковать новые транзакции в любой момент, а индикаторы компрометации (IOCs) быстро устаревают.

Почему это затрудняет обнаружение и анализ

  • Трафик выглядит как законные транзакции с криптовалютой, поэтому блокировка API может повредить легитимным операциям;
  • в «песочнице» (sandbox) поведение запросов к блокчейн‑API часто сливается с доброкачественной активностью, что снижает показатель подозрительности;
  • многоступенчатая обфускация требует ручного вмешательства и нескольких этапов деобфускации, что существенно увеличивает время анализа по сравнению с классическими C2‑тактиками;
  • публичные транзакции в блокчейне создают минимальные криминалистические следы: они не раскрывают личность акторов, особенно при использовании миксеров;
  • трансграничный характер операций усложняет юридическое преследование из‑за разницы юрисдикций.

«Публичные транзакции не раскрывают личность акторов, особенно в сочетании с микшерами», — один из ключевых выводов анализа кампании.

Вектор начального заражения: социальная инженерия и JavaScript

Цепочка атак стартует с вредоносного JavaScript‑файла, размещённого в репозитории и запущенного из него. Вредоносный код маскируется под легитимные приглашения к участию в проектах на платформах вроде GitHub, что помогает обойти антивирусные и детектирующие механизмы. Таким образом, разработчики и другие технически подкованные пользователи становятся целями через доверительные взаимодействия.

Подтверждение того, что КНДР нацелена на разработчиков с помощью социальной инженерии, указывает на изменение операционной модели злоумышленников: они всё чаще комбинируют технически сложные методы с психологическими приёмами для повышения эффективности атак.

Операционные и правовые последствия

  • минимальные криминалистические следы в блокчейнах усложняют атрибуцию и последующее расследование;
  • использование миксеров и мультисетевой инфраструктуры затрудняет прослеживание потоков средств и команд;
  • международный характер операций требует координации между юрисдикциями, что часто замедляет реагирование и правоприменение.

Рекомендации для защитников

Адаптация оборонительных мер должна учитывать особенности кросс‑цепных атак:

  • внедрять постоянный мониторинг активности в целевых блокчейнах (TRON, Aptos, BSC) и отслеживать аномалии в tx‑данных;
  • развивать эвристики для отличия легитимных транзакций от смоделированных C2‑коммуникаций; применять поведенческий анализ поверх простых IOC‑правил;
  • усилить контроль за исполняемым JavaScript‑кодом в репозиториях, внедрить code review, digital signing и CI/CD‑политику, ограничивающую автоматический запуск стороннего кода;
  • модернизировать sandbox‑среды, чтобы симулировать взаимодействие с различными blockchain API и выявлять скрытые паттерны коммуникаций;
  • координироваться с международными партнёрами и блокчейн‑платформами для оперативного реагирования и блокировки вредоносных адресов/контрактов;
  • обучать разработчиков и сотрудников принципам безопасной работы с репозиториями и признакам социальной инженерии.

Вывод

Описанная кампания демонстрирует переход к более гибким, децентрализованным и стойким C2‑архитектурам с использованием возможностей блокчейн‑экосистем. Комбинация TxDataHiding, кросс‑цепных переходов и социальной инженерии создаёт серьёзный вызов для традиционных систем киберзащиты и криминалистики. Защитникам необходимы проактивные, многоуровневые подходы и международная кооперация, чтобы эффективно реагировать на такие эволюционирующие угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: