「EtherHiding」:国家やサイバー犯罪グループが、ブロックチェーン上に隠された悪意あるペイロードを配信するためのコマンド&コントロールサーバーとしてスマートコントラクトを活用している。
国家レベルの脅威アクターやサイバー犯罪者は、「EtherHiding」と呼ばれる手法を使い、暗号通貨のブロックチェーンを悪意あるペイロードのホスティングに悪用するケースが増えており、これにより攻撃の検知や遮断が困難になっています。
「Google Threat Intelligence Group(GTIG)は、北朝鮮(DPRK)の脅威アクターUNC5342が『EtherHiding』を用いてマルウェアを配信し、暗号通貨の窃盗を行っていることを観測しました。GTIGが国家レベルのアクターによるこの手法の採用を確認したのはこれが初めてです」とGoogleの研究者は新しいレポートで述べています。
国家レベルの脅威アクターによるEtherHidingの使用が報告されたのはこれが初めてですが、Googleは過去1年間にサイバー犯罪グループUNC5142がこの手法を使用・改良し、WordPressサイトを侵害して訪問者にインフォスティーラーを配布していることを観測していました。
この手法は、スマートコントラクトを活用します。スマートコントラクトはブロックチェーン上に保存されるプログラムのようなもので、トリガーされるとコードを実行します。攻撃者はこれらをコマンド&コントロール(C2)サーバーとして利用し、特定の条件が満たされた際に悪意あるペイロードを返すようにしています。
耐障害性と分散型のC2インフラ
このようにスマートコントラクトを悪用する明確な利点のひとつは、スマートコントラクトが不変であることです。マルウェアをレンタルサーバーや侵害サーバー上にホスティングする場合と比べて、スマートコントラクトはセキュリティ企業や法執行機関によって削除されるのが非常に困難です。なぜなら、暗号通貨のブロックチェーンは設計上、非常に分散化されているからです。
さらに攻撃者は、複数のスマートコントラクトを連鎖させて参照し合うようにしたり、ペイロードを暗号化してスキャンツールで容易に検出できないようにしています。
「本質的に、EtherHidingは次世代のバレットプルーフホスティングへのシフトを示しており、ブロックチェーン技術の本来の特徴が悪用目的で再利用されています」とGoogleの研究者は述べています。「この手法は、攻撃者が新しい技術を適応・活用し続ける中で、サイバー脅威が絶えず進化していることを浮き彫りにしています。」
北朝鮮の偽採用キャンペーンでの使用
他国の国家アクターと異なり、北朝鮮のAPTグループはサイバー諜報活動だけでなくサイバー犯罪活動も行うことで知られており、その目的には体制のための資金調達も含まれています。
その一つの方法が、企業や個人から暗号通貨を盗むことです。2017年から2023年の間に、北朝鮮は暗号通貨の窃盗で17億ドルを得たと推定されています。
これはUNC5342の任務でもあり、LinkedInや求人サイトで偽の求人応募を使ってソフトウェア開発者を誘い込むソーシャルエンジニアリングキャンペーンの背後にもUNC5342がいます。
偽のリクルーターは、候補者とのやり取りをDiscordやTelegramに移し、GitHubから危険なコードリポジトリをダウンロードさせる技術テストを受けるよう依頼します。別のパターンでは、候補者がビデオ面接に招待され、その後ClickFix型のエラーメッセージが表示され、問題を解決するためのソフトウェアのダウンロードを求められます。
第一段階のマルウェアは通常、不正なnpmリポジトリにホストされた悪意あるJavaScriptコードです。その目的は、暗号通貨ウォレットやブラウザ拡張データ、ローカルに保存された認証情報を盗む第二段階のトロイの木馬をダウンロード・展開することです。GTIGはこの第一段階マルウェアをJADESNOWダウンローダーと呼んでいます。
「JADESNOWはEtherHidingを利用して、BNBスマートチェーンやEthereum上のスマートコントラクトから悪意あるペイロードを取得・復号・実行します」と研究者は述べています。「スマートコントラクトに保存された入力データはBase64でエンコードされ、XOR暗号化されている場合があります。JADESNOW感染チェーンの最終ペイロードは、通常、INVISIBLEFERRET.JAVASCRIPTのようなより永続的なバックドアです。」
さらに、INVISIBLEFERRETバックドアのコードは複数のスマートコントラクトに分割されている場合があり、実行時に異なるブロックチェーンアドレスに保存された追加のペイロード(たとえばPythonベースの情報窃取ツール)をダウンロードすることもあります。
UNC5342が使用する悪意あるJavaScriptダウンローダーは、複数のブロックチェーンエクスプローラーAPIサービス(多くは無料APIキー)を通じてEthereumやBNBチェーンにクエリを送ります。これらのサービスの中には削除要請に応じるものもありますが、応じないものもあります。しかし、サードパーティAPIサービスを使うことだけがスマートコントラクトを読み取ったりトリガーしたりする方法ではなく、これは別の脅威アクターUNC5142によっても実証されています。
ClickFixキャンペーン
UNC5142サイバー犯罪グループは、2023年以降、侵害されたウェブサイトの訪問者に偽のGoogle Chromeアップデートポップアップを表示し、インフォスティーラープログラムを配布していることで知られています。これらの偽ブラウザアップデートポップアップは、ProofPointの研究者が以前CLEARFAKEと名付けた悪意あるJavaScriptフレームワークによって生成されていました。
Googleの研究者は、このフレームワークの進化形をCLEARSHORTと呼び、BNBスマートチェーン上にデプロイされたスマートコントラクトから追加の悪意あるペイロードをダウンロードすることを確認しています。
「CLEARSHORTのランディングページはClickFixを活用しています。ClickFixは、被害者を誘導してWindowsの実行ダイアログボックスでローカルに悪意あるコマンドを実行させる人気のソーシャルエンジニアリング手法です」と研究者は述べています。
UNC5142は主にWordPressサイトを標的としています。Googleは、UNC5142による侵害の兆候が見られるウェブページを14,000ページ以上追跡しており、同グループは既存のWordPressプラグイン、テーマ、データベースに悪意あるコードを注入しています。
悪意あるCLEARSHORTコードは、Web3.jsというライブラリを活用しています。これは、HTTP、IPC、WebSocketなどのさまざまなウェブベースのプロトコルを通じてEthereumノードとやり取りできるライブラリです。このライブラリは、パブリックノードを通じてBNBスマートチェーンに接続するために使用されます。
UNC5142によるスマートコントラクトの利用は、ペイロードを単一のコントラクトに保存する方式から、現在では攻撃コンポーネントを3つの別々のコントラクトに分割する方式へと進化しており、攻撃の各部分を個別にアップグレードできるようになっています。
「この新しいアーキテクチャは、プロキシパターンとして知られる正当なソフトウェア設計原則の適用であり、開発者がコントラクトをアップグレード可能にするために使います」と研究者は述べています。「安定して変更不可能なプロキシが、別の第二層コントラクトに呼び出しを転送し、そのコントラクトはバグ修正や機能追加のために置き換えることができます。」
