ハッカーがイーサリアムブロックチェーンを利用して新しいNode.jsバックドアであるEtherRATを隠すと同時に制御する新たな手法を使用しています。この手法は「EtherHiding」と呼ばれ、コマンド&コントロール(C2)インフラストラクチャを難読化し、破壊するのが困難なように設計されています。
EtherRATの概要
以前にSysdigによってプロファイリングされたEtherRATは、北朝鮮の「Contagious Interview」活動と関連があることが判明しています。このバックドアは、攻撃者が任意のコマンドを実行し、資格情報や暗号通貨ウォレットを収集し、ホストの詳細情報を取得する機能を持っています。
EtherHidingとEtherRAT
eSentireのThreat Response Unit (TRU)は、2026年3月に小売業者の環境内でEtherRATを検出したことを発表しました。この攻撃では、社会工学的手法、Windowsの「Living-off-the-Land」バイナリ、およびブロックチェーンベースのC2解決が組み合わさっています。
攻撃の手順
- Microsoft Teamsを介したITサポート詐欺: これは通常、QuickAssistによるインタラクティブなリモートアクセスに続いて行われます。
- マルウェア配信: ClickFixコマンドを使用して、Indirect Command Execution(MITRE ATT&CK T1202)を悪用し、「shep.hta」ファイルを取得します。このファイルは後で多段階のNode.jsローダーを実行し、最終的にEtherRATをデプロイします。
- ブロックチェーンベースのC2: EtherHidingを使用して、EthereumスマートコントラクトからC2アドレスを取得し、攻撃者は長期にわたる感染症に対して小さなガス料金で状態を更新することで再び制御を取り戻すことができます。
対策と防御
組織は以下の措置を講じることで、EtherRATのような高度な脅威に対する保護を強化することができます:
- 不要な暗号ネットワークRPCプロバイダーのブロック: NGAVやEDRなどの先進的な検出機能を持つツールを使用。
- ユーザー教育: ITサポート詐欺を模擬するセキュリティ意識プログラムを通じて、ユーザーが社会工学的手法から守られるようにします。