北朝鮮のハッカーは、スマートコントラクトを利用してマルウェアをホスティングおよび配信する「EtherHiding」手法を採用し、暗号資産を盗むソーシャルエンジニアリングキャンペーンを展開しています。
Google Threat Intelligence Group(GTIG)によると、DPRK(朝鮮民主主義人民共和国)の国家支援型脅威アクターであり、社内でUNC5342として追跡されているグループが、2月からContagious Interview作戦でEtherHidingを使用しているとのことです。
研究者らは、国家支援のハッカーグループがこの手法を使用するのを初めて確認したと述べています。
Guardio Labsが2023年に初めて説明したEtherHidingは、ペイロードをパブリックブロックチェーン(Binance Smart ChainまたはEthereum)のスマートコントラクト内に埋め込むマルウェア配信手法です。脅威アクターはこれにより悪意のあるスクリプトをホスティングし、必要に応じて取得できます。
ブロックチェーンの仕組みにより、EtherHidingは匿名性、テイクダウンへの耐性、柔軟なペイロード更新を非常に低コストで実現します。さらに、ペイロードの取得は読み取り専用コールで行われ、取引履歴が残らないため、プロセスにステルス性が加わります。
ブロックチェーン上のDPRK作戦
攻撃は通常、偽の就職面接から始まります。これはDPRKの典型的なソーシャルエンジニアリング手法であり、巧妙に作られた企業(BlockNovas LLC、Angeloper Agency、SoftGlide LLC)からソフトウェアやウェブ開発者を標的にしています。
被害者は、面接の技術評価の一環として、JavaScriptダウンローダーを実行するコードを動かすように騙されます。
研究者によれば、「スマートコントラクトはJADESNOWダウンローダーをホストしており、Ethereumと連携して第3段階のペイロードを取得します」。これは通常、長期的なスパイ活動に使われるInvisibleFerretマルウェアのJavaScript版です。
GTIGは、ペイロードはメモリ上で実行され、さらに認証情報を盗む別のコンポーネントをEthereumに要求する場合があると指摘しています。
研究者によると、ハッカーはJADESNOWを使ってEthereumまたはBNB Smart Chainのいずれかからペイロードを取得できるため、解析がより困難になります。
「複数のブロックチェーンをEtherHiding活動に利用する脅威アクターは珍しく、これは北朝鮮のサイバーオペレーターのチーム間で作戦が分業されている可能性を示しています」とGTIGは述べています。
出典:Google
「取引の詳細を見ると、契約は最初の4か月間で20回以上更新されており、各更新には平均1.37米ドルのガス代がかかっています」とGTIGは説明しています。
「この低コストと更新頻度は、攻撃者がキャンペーンの設定を容易に変更できることを示しています」と研究者らは述べています。
マルウェアはバックグラウンドで動作し、コマンド&コントロール(C2)からの任意コマンドの実行や、ファイルをZIP形式で外部サーバーやTelegramに流出させるなどの命令を待ち受けます。
認証情報窃取コンポーネントは、パスワード、クレジットカード、暗号資産ウォレット(MetaMaskやPhantom)情報をChromeやEdgeなどのウェブブラウザに保存されたものを狙います。
北朝鮮の脅威アクターによるEtherHidingの採用は、キャンペーンの追跡や妨害を困難にする顕著な進展です。
魅力的な求人オファーを受けた場合、何かをダウンロードするよう求められた際には慎重になり、まず隔離された環境でファイルをテストするべきです。
GTIGは、管理者に対し、Chrome Enterpriseでリスクの高いファイルタイプ(.EXE、.MSI、.BAT、.DLL)のダウンロード制限を設け、ブラウザ更新を完全に管理し、厳格なウェブアクセスおよびスクリプト実行ポリシーを設定することを推奨しています。
