- UNC5342はEtherHidingを通じてブロックチェーンのスマートコントラクトを利用し、暗号資産窃盗マルウェアを配布
- 偽の求人やコーディングチャレンジで開発者を誘い、JadeSnowローダーとバックドアを起動させる
- ブロックチェーンの不変性がマルウェアのホスティングを強固にする
北朝鮮の国家支援型脅威アクターは現在、パブリックブロックチェーンを利用して悪意のあるコードをホストし、標的のエンドポイントにマルウェアを展開しています。
これはGoogleの脅威インテリジェンスグループ(GTIG)によるもので、彼らはUNC5342がEthereumやBNBを利用してドロッパーをホストし、最終的にソフトウェアやブロックチェーン開発者を標的に暗号資産窃盗マルウェアを展開していると述べています。
この手法はEtherHidingと呼ばれています。被害者に悪意のあるファイルを直接送信したり、ダウンロードさせたりする代わりに、マルウェアの一部をブロックチェーンのトランザクションやスマートコントラクトにエンコードします。
バレットプルーフホスティングの進化
スマートコントラクト自体は自動的にマルウェアを誰かのコンピューターで実行することはありませんが、ユーザーがそれとやり取りしたとき(リンクをクリックしたり、スクリプトを実行したり、暗号ウォレットを接続したとき)に、指示やコードを配信することができます。
ブロックチェーンは公開されており、不変で、改ざんがほぼ不可能なため、マルウェアを保存・配布するのに最適な場所です。
「これは次世代のバレットプルーフホスティングへのシフトを示しています」とGoogleは述べており、ブロックチェーンの耐障害性がサイバー犯罪者にとって非常に魅力的であると強調しています。
2月以降、UNC5342は偽の求人やコーディングチャレンジを作成し、Web3分野で働く開発者などを騙してさまざまなファイルをダウンロードさせていることが観測されています。これらのファイルはブロックチェーンに接続してコードを取得し、それによってJadeSnowローダーがインストールされます。このローダーはInvisibleFerretバックドアを投下し、これはすでに暗号資産窃盗で使用されていることが確認されています。
ブロックチェーンがマルウェア配布に使われるのはこれが初めてではありません。この手法は2023年から使われており、同じレポートでGoogleは金銭目的のアクターUNC5142も同様の手法を使っていると述べています。
このグループはWordPressサイトを侵害し、悪意あるJavaScriptコードをホストしてブロックチェーンに接続させているのが確認されています。これまでに1万4,000以上の感染サイトが発見されています。
北朝鮮は暗号資産業界を標的とし、盗んだ資金を兵器開発や国家運営資金に充てていることで知られています。
