概要
北朝鮮のハッカー集団が、スマートコントラクトを利用してマルウェアを隠蔽・配信する新たな手法「EtherHiding」を採用していることが明らかになりました。Google脅威インテリジェンスグループ(GTIG)によると、内部でUNC5342と追跡されている北朝鮮の国家支援型脅威アクターが、2025年2月から「Contagious Interview」作戦でこの手法を使用しています。これは、国家支援型ハッカー集団がこの方法を使用しているのが確認された初めての事例です。
「EtherHiding」とは
「EtherHiding」は、2023年にGuardio Labsによって初めて報告されたマルウェア配布技術です。この手法では、マルウェアのペイロードが公開ブロックチェーン(Binance Smart ChainまたはEthereum)上のスマートコントラクト内に埋め込まれます。これにより、攻撃者は悪意のあるスクリプトをホストし、必要に応じてそれらを取得することが可能になります。
- 匿名性:ブロックチェーンの特性により、攻撃者の匿名性が高まります。
- テイクダウンへの耐性:分散型ネットワークのため、マルウェアのテイクダウンが困難です。
- 柔軟なペイロード更新:非常に低いコストでペイロードを頻繁に更新できます。
- ステルス性:ペイロードの取得は読み取り専用の呼び出しを通じて行われるため、目に見えるトランザクション履歴が残りません。
GTIGは、スマートコントラクトの更新にかかる費用が平均1.37米ドルと非常に低く、4ヶ月間で20回以上更新されていることを指摘しており、攻撃者が容易にキャンペーン設定を変更できることを示しています。
攻撃の手口と感染経路
これらの攻撃は、北朝鮮のハッカー集団の典型的なソーシャルエンジニアリング戦術である偽の求人面接から始まります。BlockNovas LLC、Angeloper Agency、SoftGlide LLCといった巧妙に偽装された企業を装い、ソフトウェア開発者やウェブ開発者を標的にします。被害者は面接の技術評価の一環としてコードを実行するよう仕向けられ、その結果、JavaScriptダウンローダーが実行されます。
このダウンローダーは「JADESNOW」と呼ばれ、Ethereumとやり取りして第三段階のペイロードを取得します。このペイロードは、長期的なスパイ活動に通常使用される「InvisibleFerret」マルウェアのJavaScript版です。JADESNOWはEthereumまたはBNB Smart Chainのいずれかからペイロードを取得できるため、分析がさらに困難になっています。
マルウェアの機能と標的
InvisibleFerretマルウェアはメモリ内で実行され、必要に応じてEthereumから別のコンポーネントを要求し、資格情報を窃取します。このマルウェアはバックグラウンドで動作し、コマンド&コントロール(C2)サーバーからのコマンドをリッスンします。実行可能な機能には、任意のコマンドの実行や、ファイルをZIP形式で外部サーバーまたはTelegramに流出させることが含まれます。
資格情報窃取コンポーネントは、ChromeやEdgeなどのウェブブラウザに保存されているパスワード、クレジットカード情報、そしてMetaMaskやPhantomといった暗号通貨ウォレットの情報を標的とします。
セキュリティ上の示唆と対策
北朝鮮の脅威アクターによるEtherHidingの採用は、キャンペーンの追跡と阻止を複雑にする注目すべき進展です。魅力的な求人情報で標的にされた個人は、何かをダウンロードするよう求められた場合、常に警戒し、まず隔離された環境でファイルをテストする必要があります。
GTIGは、管理者に対して以下の対策を推奨しています。
- Chrome Enterpriseで、危険なファイルタイプ(.EXE、.MSI、.BAT、.DLL)のダウンロード制限を設定する。
- ブラウザの更新を完全に管理する。
- 厳格なウェブアクセスおよびスクリプト実行ポリシーを適用する。