はじめに
サイバーセキュリティの状況は、攻撃手法の著しい進化を目の当たりにしています。北朝鮮の脅威アクターは、マルウェアを配布し、仮想通貨の窃盗を促進するために、ブロックチェーン技術を悪用する洗練された手法であるEtherHidingを採用しています。
EtherHidingとは?
EtherHidingは、BNBスマートチェーンやイーサリアムのようなパブリックブロックチェーン上のスマートコントラクト内にマルウェアコードを埋め込むことで、サイバー犯罪者が悪意のあるペイロードを保存および配信する方法に根本的な変化をもたらします。この技術は、ブロックチェーンを分散型コマンド&コントロールサーバーに変え、従来のテイクダウンやブロックリスト対策に対して前例のない回復力をもたらします。
攻撃の仕組み
攻撃は、北朝鮮の脅威アクターが脆弱性や盗まれた認証情報を通じて正規のウェブサイトを侵害し、侵害されたサイトに小さなJavaScriptローダースクリプトを注入することから始まります。疑いを持たないユーザーが感染したウェブサイトを訪れると、ローダースクリプトがブラウザで実行され、ブロックチェーンと通信してリモートに保存された主要な悪意のあるペイロードを取得します。この取得プロセスでは、読み取り専用関数呼び出しが使用され、ブロックチェーントランザクションの作成を回避することで、マルウェアの取得がステルス性を保ち、ガス料金をバイパスします。
攻撃者にとっての戦略的利点
EtherHidingは、攻撃者にとって対抗が特に困難な、いくつかの説得力のある利点を提供します。
- 分散型:ブロックチェーンの分散型性質により、法執行機関やサイバーセキュリティ企業がテイクダウンできる中央サーバーが存在せず、ブロックチェーン自体が機能している限り、悪意のあるコードはアクセス可能です。
- 匿名性:ブロックチェーントランザクションの匿名性により、攻撃者の身元を追跡することは極めて困難です。
- 不変性:スマートコントラクトの不変性により、デプロイされた悪意のあるコードは、コントラクト所有者以外によって削除または変更されることは通常ありません。
- 柔軟性:脅威アクターはスマートコントラクトを制御することで、いつでも悪意のあるペイロードを更新でき、攻撃方法の変更、ドメインの更新、または異なるマルウェアタイプの同時デプロイが可能です。
この機能の組み合わせは、ブロックチェーンの固有の機能が悪意のある目的に再利用される、次世代の「弾丸プルーフホスティング」への移行を示しています。
UNC5342の活動と標的
Google脅威インテリジェンスグループ(GTIG)は、北朝鮮と関連する脅威アクターUNC5342が、この革新的な技術を使用する最初の国家支援グループとして特定しました。2025年2月以降、GTIGはUNC5342が「Contagious Interview」と呼ばれるソーシャルエンジニアリングキャンペーンにEtherHidingを組み込んでいることを追跡しています。この洗練された作戦は、特に仮想通貨およびテクノロジー分野の開発者を標的とし、巧妙な求人プロセスを悪用した精巧な偽の採用プロセスを通じて行われます。このキャンペーンは、北朝鮮の戦略的目標に沿った二重の目的を果たします。国際的な制裁を回避するための仮想通貨窃盗による収益生成と、開発者を侵害して情報収集を行い、テクノロジー企業に足がかりを得るためのスパイ活動です。
JADESNOWとブロックチェーンインフラ
JADESNOWは、UNC5342に関連するJavaScriptベースのダウンローダーマルウェアファミリーであり、EtherHidingを利用してBNBスマートチェーンとイーサリアム上のスマートコントラクトから悪意のあるペイロードを取得、復号、実行します。初期のダウンローダーは、Binplorerを含む様々なAPIプロバイダーを通じてBNBスマートチェーンにクエリを実行し、スマートコントラクトに保存されているJADESNOWペイロードを読み取ります。UNC5342の実装で特に注目すべきは、同じ操作内で複数のブロックチェーンを使用していることです。初期のJADESNOWダウンローダーはBNBスマートチェーンにクエリを実行しますが、難読化されたペイロードは、攻撃者が制御するアドレスのトランザクション履歴にクエリを実行することでイーサリアムにピボットします。攻撃者は、イーサリアムスマートコントラクトにペイロードを直接保存するのではなく、よく知られたバーンアドレスへのトランザクションから保存されたコールデータを読み取り、ブロックチェーントランザクションを「デッドドロップリゾルバー」として効果的に使用します。
防御戦略と推奨事項
既知のドメインやIPのブロックに依存する従来のキャンペーン緩和戦略は、スマートコントラクトが自律的に動作し、従来の方法でシャットダウンできないため、EtherHidingに対しては不十分です。Chrome Enterpriseは、組織内のすべての管理対象ブラウザでセキュリティポリシーを構成および適用するための集中型緩和アプローチを提供します。
- DownloadRestrictions:.exe、.msi、.bat、.dllなどの危険なファイルタイプをブロックし、悪意のあるペイロードがユーザーのコンピューターに保存されるのを防ぎます。
- 管理された更新:Chromeの更新をバックグラウンドでサイレントかつ自動的にプッシュし、偽の更新プロンプトというソーシャルエンジニアリング戦術を無効にします。
- URLBlocklist:脅威インテリジェンスによって特定された既知の悪意のあるウェブサイトやブロックチェーンノードのURLへのアクセスをブロックします。
- Googleセーフブラウジングの強化モード:フィッシングサイトや悪意のあるダウンロードについてユーザーに警告するためのリアルタイムの脅威インテリジェンスを提供します。
IoC (Indicators of Compromise)
- SHA256 Hash (ZIP Archive):
970307708071c01d32ef542a49099571852846a980d6e8eb164d2578147a1628(初期ダウンローダーを含むZIPアーカイブ) - SHA256 Hash (Initial JavaScript Downloader):
01fd153bfb4be440dd46cea7bebe8eb61b1897596523f6f6d1a507a708b17cc7(感染チェーンを起動するJADESNOWサンプル) - BSC Address (Smart Contract):
0x8eac3198dd72f3e07108c4c7cff43108ad48a71c(UNC5342がセカンドステージのJADESNOWペイロードをホストするために使用するBNBスマートチェーンコントラクト) - BSC Address (Attacker-Controlled):
0x9bc1355344b54dedf3e44296916ed15653844509(悪意のあるBNBスマートチェーンコントラクトの所有者アドレス) - Ethereum Transaction Hash (INVISIBLEFERRET.JAVASCRIPT Payload):
0x86d1a21fd151e344ccc0778fd018c281db9d40b6ccd4bdd3588cb40fade1a33a(INVISIBLEFERRET.JAVASCRIPTペイロードを保存するトランザクション) - Ethereum Transaction Hash (INVISIBLEFERRET.JAVASCRIPT Split Payload):
0xc2da361c40279a4f2f84448791377652f2bf41f06d18f19941a96c720228cd0f(分割されたINVISIBLEFERRET.JAVASCRIPTペイロードを保存するトランザクション) - Ethereum Transaction Hash (INVISIBLEFERRET Credential Stealer Payload):
0xf9d432745ea15dbc00ff319417af3763f72fcf8a4debedbfceeef4246847ce41(追加のINVISIBLEFERRET.JAVASCRIPT認証情報窃盗ペイロードを保存するトランザクション)