はじめに
北朝鮮のハッカー集団が、スマートコントラクトを利用してマルウェアを隠蔽し、配信する新たな技術「EtherHiding」を採用していることが明らかになりました。Google Threat Intelligence Group (GTIG) は、DPRK(朝鮮民主主義人民共和国)の国家支援型脅威アクター「UNC5342」が、2025年2月からこの手法を「Contagious Interview」作戦で利用していると報告しています。これは、国家支援型ハッカー集団がこの方法を使用する初の事例とされています。
「EtherHiding」とは何か
「EtherHiding」は、2023年にGuardio Labsによって初めて記述されたマルウェア配布技術です。この手法では、ペイロードがパブリックブロックチェーン(Binance Smart ChainまたはEthereum)上のスマートコントラクト内に埋め込まれます。攻撃者は、必要に応じて悪意のあるスクリプトをホストし、それらを取得することができます。
ブロックチェーンの仕組み上、EtherHidingは以下の利点を攻撃者に提供します:
- 匿名性:攻撃者の身元を隠蔽しやすい。
- テイクダウンへの耐性:ブロックチェーンの分散性により、マルウェアのホストを停止させることが困難。
- 柔軟なペイロード更新:スマートコントラクトを更新することで、マルウェアの構成を容易に変更可能。
- 低コスト:更新にかかる費用が非常に低い。
- ステルス性:ペイロードの取得は読み取り専用の呼び出しを通じて行われるため、目に見えるトランザクション履歴が残らない。
攻撃の手口と感染経路
これらの攻撃は通常、北朝鮮のソーシャルエンジニアリング戦術の典型である偽の求人面接から始まります。標的となるのはソフトウェア開発者やウェブ開発者で、BlockNovas LLC、Angeloper Agency、SoftGlide LLCといった巧妙に偽装された企業が利用されます。
被害者は、面接の技術評価の一環として、JavaScriptダウンローダーを実行するコードを実行するように仕向けられます。研究者によると、スマートコントラクトは「JADESNOW」ダウンローダーをホストしており、これがEthereumとやり取りして、長期的なスパイ活動に通常使用される「InvisibleFerret」マルウェアのJavaScript版である第三段階のペイロードを取得します。
GTIGは、このペイロードがメモリ内で実行され、認証情報を窃取する別のコンポーネントをEthereumに要求する可能性があると指摘しています。JADESNOWはEthereumまたはBNB Smart Chainのいずれかからペイロードを取得できるため、分析がより困難になります。これは、北朝鮮のサイバーオペレーターチーム間で運用上の区分けがあることを示唆している可能性があります。
攻撃の費用対効果とマルウェアの機能
Googleの報告によると、スマートコントラクトは最初の4ヶ月間で20回以上更新されており、各更新にかかるガス料金は平均1.37米ドルでした。この低コストと更新頻度は、攻撃者がキャンペーンの構成をいかに容易に変更できるかを示しています。
マルウェアはバックグラウンドで実行され、コマンド&コントロール(C2)サーバーからのコマンドをリッスンします。その機能には、任意のコマンドの実行や、ファイルをZIP形式で外部サーバーやTelegramに窃取することが含まれます。認証情報窃取コンポーネントは、ChromeやEdgeなどのウェブブラウザに保存されているパスワード、クレジットカード情報、およびMetaMaskやPhantomなどの仮想通貨ウォレット情報を標的とします。
対策と推奨事項
北朝鮮の脅威アクターによるEtherHidingの採用は、キャンペーンの追跡と阻止を複雑にする注目すべき進展です。魅力的な求人情報に誘われる個人は、何かをダウンロードするよう求められた際には常に警戒し、まず隔離された環境でファイルをテストするべきです。
GTIGは、管理者に対して以下の対策を推奨しています:
- Chrome Enterpriseで、危険なファイルタイプ(.EXE、.MSI、.BAT、.DLL)のダウンロード制限を設定する。
- ブラウザの更新を完全に管理する。
- 厳格なウェブアクセスおよびスクリプト実行ポリシーを適用する。