TokyoBlackHatNews

gbhackers.com 4分で読了

ClearFakeがBSCテストネットコントラクトを悪用して堅牢なC2オペレーションを構築

ClearFakeキャンペーンの背後にいる脅威アクターたちは、BNBスマートチェーン(BSC)テストネットのスマートコントラクトを活用することで、新規かつ高度に堅牢なコマンド&コントロール(C2)アーキテクチャを採用し、従来のテイクダウン手法に対して事実上無効化できないインフラを構築した。

ホスティングプロバイダーやレジストラなど容易に妨害できるインフラに依存する従来のマルウェアキャンペーンとは異なり、このアプローチでは悪意のあるJavaScriptと指示を不変のブロックチェーンストレージ内に埋め込む。

一度デプロイされたデータは変更も削除もできず、数千ものノードに複製される。BSCテストネット上で運用することで、攻撃者はさらに運用コストを削減している。テストネットトークンは無償で入手でき、金銭的価値を持たないためだ。

攻撃チェーンは侵害されたウェブサイトから始まり、悪意のあるbase64エンコードされたJavaScriptローダーがページに直接注入される。このローダーは外部URLからペイロードを取得しない。

代わりに、標準的なJSON-RPC eth_callリクエストを使用してBSCスマートコントラクトに問い合わせ、次段階のペイロードをオンチェーンストレージから直接取得する。この設計により、従来のURLベースの検出・ブロック機構を回避する。

ClearFakeは、参照リンクだけでなくペイロード全体をオンチェーンに保存することで、以前のEtherHiding技術を大幅に改良している。取得後、悪意のあるコードは被害者のブラウザ内で完全に実行される。

TrendAIリサーチによると、攻撃者はEtherHiding技術を使用して悪意のあるペイロードとルーティングロジックをブロックチェーンのスマートコントラクト内に直接格納し、ドメインや中央集権型サーバーへの依存を排除した。

Image

このスクリプトにはサンドボックス環境を回避するためのアンチ解析チェックが含まれており、ローカルホストやプライベートIPレンジからのトラフィックを除外することで、正規のユーザーシステムのみを標的にしている。

ClearFakeによるBSCテストネットの悪用

これらのチェックを通過した被害者は、オペレーティングシステムに応じてルーティングされる。Windowsユーザーには、Google reCAPTCHAプロンプトを模倣したClickFakeソーシャルエンジニアリングのオーバーレイが表示され、macOSユーザーにはターミナル操作を要求するカスタマイズされたバージョンが表示される。いずれのパスもクリップボードハイジャックを利用して、ユーザーに悪意のあるコマンドを実行させる手口を使用する。

このキャンペーンは2つの主要ペイロードを同時に配信する。.NETベースのリモートアクセス型トロイの木馬であるSectopRATは、ブラウザセッションのハイジャックとChromeまたはEdgeセッションの密かな制御を可能にする。

Image

C++で記述されたACRStealerは、ブラウザの認証情報、暗号通貨ウォレット、メッセージングセッション、FTPやVPNの設定など、機密データの窃取に特化している。

Windowsシステムでは、ペイロードはファイルレスで実行されるかDLLサイドローディング技術を介して実行されるのに対し、macOSへの感染ではcurlベースのダウンロードおよび実行チェーンが使用される。

このキャンペーンで特に注目すべき特徴は、実行トラッカーとして第4のスマートコントラクトを使用している点だ。このコントラクトは、公開IPアドレスから派生した被害者識別子を保存することで、感染の成功をリアルタイムで記録する。

マルウェアはおとりを表示する前にこのコントラクトを確認し、再感染を防ぐとともに、攻撃者がキャンペーンの効果をオンチェーン上で直接監視できるようにする。

TrendAIは今回の作戦に関与した4つのスマートコントラクトを特定しており、すべてが単一のデプロイヤーウォレットに紐付けられている。タイムラインによると、このインフラは少なくとも2025年5月から稼働しており、2026年5月時点でも継続的な更新と新たな被害者の活動が確認されている。これにより、ブロックチェーンベースのC2は実験的なものではなく、継続的に維持されたキャンペーンの一部であることが確認された。

Windows WebClientサービスは、非標準の.camp拡張子を持つリモートDLLである put34b.campをメモリに直接ロードした。

コントラクト自体は意図的にシンプルに設計されており、基本的なsetおよびgetメソッドを持つキー・バリューストアとして機能する。この最小限の設計により、攻撃者は単一のトランザクションでペイロードを更新でき、追加のインフラを必要とせずに感染済みまたは問い合わせ中のすべてのシステムに即座に変更を伝播させることができる。

この動向は、攻撃者の戦略における重大な転換を示している。分散型かつ不変のプラットフォームを活用することで、脅威アクターは押収、シンクホール化、無効化ができないC2チャネルを構築している。

ブロックチェーンベースの悪用が進化し続ける中、防御側はインフラの妨害のみに頼るのではなく、振る舞い検知、エンドポイント監視、クライアントサイドの保護により一層注力する必要がある。

翻訳元: https://gbhackers.com/clearfake-abuses-bsc-testnet/

ソース: gbhackers.com
#ACRStealer #BSCテストネット #C2インフラ #ClearFake #ClickFake #EtherHiding #SectopRAT #スマートコントラクト #ソーシャルエンジニアリング #ブロックチェーンマルウェア

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚