はじめに
北朝鮮の脅威アクターが、マルウェアの拡散と仮想通貨の窃盗を目的として、ブロックチェーン技術を悪用する新たな手法「EtherHiding」を採用し、サイバーセキュリティの状況に大きな変化をもたらしています。
EtherHidingとは何か?
EtherHidingは、マルウェアコードをBNBスマートチェーンやイーサリアムなどのパブリックブロックチェーン上のスマートコントラクトに埋め込むことで、悪意のあるペイロードを保存・配信する手法です。これにより、ブロックチェーンが分散型コマンド&コントロール(C2)サーバーとして機能し、従来のテイクダウンやブロックリスト化の対策に対して前例のない耐性を持つことになります。
Google脅威インテリジェンスグループ(GTIG)は、北朝鮮関連の脅威アクター「UNC5342」がこの革新的な手法を国家レベルで初めて使用したことを確認しました。この手法は、2023年9月に金銭目的の「CLEARFAKE」キャンペーンで「UNC5142」によって初めて確認されています。
攻撃の連鎖
攻撃は、北朝鮮の脅威アクターが脆弱性や盗まれた認証情報を通じて正規のウェブサイトを侵害することから始まります。侵害されたサイトには、小さなJavaScriptローダースクリプトが注入されます。ユーザーが感染したウェブサイトを訪れると、ローダースクリプトがブラウザで実行され、ブロックチェーンと通信してリモートに保存された主要な悪意のあるペイロードを取得します。この取得プロセスでは、読み取り専用の関数呼び出しが使用され、ブロックチェーン取引を作成しないため、マルウェアの取得はステルス性を保ち、ガス料金も回避されます。
攻撃者にとっての戦略的利点
EtherHidingは、攻撃者にとっていくつかの強力な利点を提供します。
- 分散型:ブロックチェーンの分散型性質により、法執行機関やサイバーセキュリティ企業がシャットダウンできる中央サーバーが存在しません。
- 匿名性:ブロックチェーン取引の匿名性により、攻撃者の身元を追跡することが非常に困難です。
- 不変性:スマートコントラクトの不変性により、展開された悪意のあるコードは通常、コントラクト所有者以外は削除または変更できません。
- 柔軟性:攻撃者はスマートコントラクトを制御することで、攻撃方法の変更、ドメインの更新、異なるマルウェアタイプの展開をいつでも行えます。
- ステルス性:読み取り専用の呼び出しを使用してペイロードを取得できるため、ブロックチェーン上に目に見える取引履歴が残らず、活動の追跡が著しく困難になります。
これらの特徴の組み合わせは、ブロックチェーンの固有の機能が悪意のある目的に再利用される、次世代の「弾丸プルーフホスティング」への移行を示しています。
「Contagious Interview」キャンペーン
2025年2月以降、GTIGはUNC5342がEtherHidingを「Contagious Interview」と呼ばれるソーシャルエンジニアリングキャンペーンに組み込んでいることを追跡しています。このキャンペーンは、仮想通貨およびテクノロジー分野の開発者を標的とし、巧妙な偽の採用プロセスを通じて行われます。
攻撃者はLinkedInなどのプロフェッショナルネットワーキングサイトで説得力のある偽の採用担当者プロフィールを作成し、時にはBlockNovas LLC、Angeloper Agency、SoftGlideLLCのような偽の会社を設立します。初期接触後、被害者はTelegramやDiscordなどのプラットフォームに誘導され、偽の面接プロセスに進みます。攻撃の核心は、候補者がコーディングテストやプロジェクトレビューのためにGitHubなどのリポジトリからファイルをダウンロードするよう求められる技術評価フェーズで発生します。これらのファイルには、多段階の感染プロセスを開始する悪意のあるコードが含まれています。
キャンペーンでは、初期ダウンローダーとして「JADESNOW」マルウェアが使用され、その後「INVISIBLEFERRET」のJavaScript亜種が展開されます。この第2段階のマルウェアは、特に仮想通貨ウォレット、ブラウザ拡張機能データ、認証情報などの機密データをスキャンして窃取するように設計されています。高価値の標的の場合、永続的なINVISIBLEFERRETバックドアは、攻撃者に侵害されたシステムのリモート制御を提供し、長期的なスパイ活動、データ窃盗、ネットワーク内での横方向の移動を可能にします。
このキャンペーンは、国際的な制裁を回避するための仮想通貨窃盗による収益生成と、開発者を侵害して情報収集やテクノロジー企業への足がかりを得るという、北朝鮮の戦略的目標に沿った二重の目的を果たすものです。
JADESNOWとブロックチェーンインフラ
JADESNOWは、UNC5342に関連するJavaScriptベースのダウンローダーマルウェアファミリーであり、EtherHidingを利用してBNBスマートチェーンとイーサリアム上のスマートコントラクトから悪意のあるペイロードを取得、復号、実行します。初期ダウンローダーは、Binplorerを含む様々なAPIプロバイダーを通じてBNBスマートチェーンにクエリを実行し、スマートコントラクトに保存されたJADESNOWペイロードを読み取ります。あるスマートコントラクトの分析では、最初の4ヶ月間で20回以上更新されており、各更新にかかるガス料金は平均わずか1.37米ドルであったことが判明しました。この低コストと高い更新頻度は、攻撃者がキャンペーン設定を容易に変更できることを示しています。
UNC5342の実装で特に注目すべきは、同じ操作内で複数のブロックチェーンを使用している点です。初期のJADESNOWダウンローダーはBNBスマートチェーンにクエリを実行しますが、難読化されたペイロードは、攻撃者が制御するアドレスの取引履歴をクエリするためにGETリクエストを実行することでイーサリアムに移行します。攻撃者は、ペイロードをイーサリアムスマートコントラクトに直接保存するのではなく、既知のバーンアドレスへの取引から保存されたcalldataを読み取り、ブロックチェーン取引を「デッドドロップリゾルバー」として効果的に利用しています。これらの取引は頻繁に生成され、C2サーバーの変更を含むキャンペーンが簡単なブロックチェーン取引でいかに容易に更新できるかを示しています。
ブロックチェーンネットワークの分散型性質にもかかわらず、UNC5342とUNC5142の両方とも、ブロックチェーンと対話するために集中型サービスに依存しており、これが防御側にとって潜在的な介入ポイントとなります。UNC5142はBNBスマートチェーンノードとの直接通信にRPCエンドポイントを使用する一方、UNC5342は脅威アクターとブロックチェーン間の抽象化レイヤーとして機能する中央エンティティがホストするAPIサービスを利用しています。
防御戦略と推奨事項
EtherHidingに対しては、既知のドメインやIPをブロックする従来のキャンペーン緩和戦略では不十分です。スマートコントラクトは自律的に動作し、従来の方法ではシャットダウンできないためです。BscScanやEtherscanのようなブロックチェーンスキャナーは、セキュリティ研究者が悪意のあるコントラクトにタグを付けることを可能にしますが、コントラクトがデプロイされると悪意のある活動は依然として実行され得ます。
Chrome Enterpriseは、組織内のすべての管理対象ブラウザでセキュリティポリシーを設定・適用するための集中型緩和アプローチを提供します。主要な予防策として、以下が推奨されます。
- DownloadRestrictionsの実装:.exe、.msi、.bat、.dllなどの危険なファイルタイプをブロックし、悪意のあるペイロードがユーザーのコンピューターに保存されるのを防ぎます。
- 管理された更新の活用:Chromeの更新をバックグラウンドでサイレントかつ自動的にプッシュし、偽の更新プロンプトというソーシャルエンジニアリング戦術を無効にします。
- URLBlocklistポリシー:脅威インテリジェンスによって特定された既知の悪意のあるウェブサイトやブロックチェーンノードURLへのアクセスをブロックします。
- 強化モードでのGoogleセーフブラウジングの適用:フィッシングサイトや悪意のあるダウンロードについてユーザーに警告するためのリアルタイム脅威インテリジェンスを提供します。
UNC5342のような国家レベルの脅威アクターがEtherHidingを採用していることは、攻撃者が悪意のある目的のために新興技術を適応させ、利用し続けるサイバー脅威の継続的な進化を示しています。