ClearFakeキャンペーンは現在、EtherHidingと呼ばれる技術を活用し、悪意のあるペイロード命令をBNBスマートチェーン(BSC)テストネットのスマートコントラクト内に直接格納しています。
この変化により、従来のコマンド&コントロール(C2)サーバーが分散型ブロックチェーンインフラに置き換えられ、ルーティングレイヤーはセキュリティベンダー、ドメインレジストラ、または法執行機関による介入を受けない構造となっています。
BSCテストネット上で運用することで、脅威アクターは不変台帳による究極の耐障害性を享受しながら、運用コストを一切負担しません。
悪意のあるコントラクトは、基本的な読み取り・書き込み機能を備えたシンプルなキーバリューストアとして機能します。
攻撃者は単一のオンチェーントランザクションによってペイロードを更新し、新たな悪意のあるコードはそのコントラクトを参照しているすべての侵害済みウェブサイトへ即座に伝播します。
侵入は、ユーザーが正規のWordPressブログなどの侵害済みウェブサイトにアクセスした際に始まります。脅威アクターは、高度に難読化されたJavaScriptローダーをサイトのコードに直接埋め込みます。
ペイロードは外部リンクではなくインラインで配信されるため、セキュリティツールがフラグを立てたりブロックしたりする悪意のあるURLが存在しません。
このキャンペーンに加わった技術的に注目すべき要素として、コンバージョントラッキング専用の4つ目のスマートコントラクトの使用が挙げられます。このコントラクトは、ジオロケーションAPIを通じて感染ユーザーのパブリックIPアドレスを記録します。
最初のスクリプトが実行されると、このトラッキングコントラクトを確認し、既に侵害済みのユーザーに偽のreCAPTCHAを表示しないようにすることで、ノイズを最小化し、発見されるリスクを低減します。
トレンドマイクロの調査によれば、C2運用へのブロックチェーンの採用は、サイバー犯罪者の戦術の成熟を示しており、これまで北朝鮮のUNC5342のような国家支援グループにのみ見られていた能力に匹敵するものです。
ペイロードデータは、何千もの分散ノードにわたるコントラクトストレージ内に同時に存在します。ブロックチェーンをシンクホールすることも、スマートコントラクトを差し押さえることも不可能です。
この現実は、ネットワーク防衛者や脅威インテリジェンスアナリストに戦略的な方針転換を迫ります。基盤となるインフラが分散化・不変化されている今、IPアドレスや悪意のあるドメインをブロックするだけでは不十分です。
セキュリティチームは代わりに、行動分析、厳格なエンドポイント制御、およびソーシャルエンジニアリング戦術に関するユーザー教育に注力する必要があります。
組織は、ユーザーによるコマンドラインインターフェースへのアクセスを制限し、不審なクリップボード操作を監視することを強く推奨します。
脅威アクターが分散型技術を兵器化し続ける中、従来のネットワーク指標のみに依存することは、敗北が約束された戦いです。
防御戦略は、これらの不変なC2ネットワークが必然的に引き起こすデバイス上の挙動を検出できるよう進化しなければなりません。
翻訳元: https://cyberpress.org/clearfake-abuses-blockchain-c2/