DPRKがEtherHidingを採用：ブロックチェーン上に潜む国家支援型マルウェア

執筆者：Blas Kojusner、Robert Wallace、Joseph Dobson

Google Threat Intelligence Group（GTIG）は、北朝鮮（DPRK）の脅威アクターUNC5342が「EtherHiding」を用いてマルウェアを配布し、暗号資産の窃取を促進していることを確認しました。GTIGが国家支援型アクターによるこの手法の採用を観測したのは今回が初めてです。本稿は、敵対者がEtherHidingを利用する事例を扱う2部構成のブログシリーズ の一部です。EtherHidingは、パブリックブロックチェーン上のトランザクションを利用して悪性ペイロードを保存・取得する手法で、従来のテイクダウンやブロックリスト化の取り組みに対して高い耐性を持つ点が特徴です。EtherHidingを活用してマルウェアを配布するUNC5142キャンペーンについてもご覧ください。

2025年2月以降、GTIGはUNC5342が、Palo Alto NetworksによりContagious Interviewと名付けられた継続中のソーシャルエンジニアリング・キャンペーンにEtherHidingを組み込んでいることを追跡しています。このキャンペーンでは、アクターがJADESNOWマルウェアを用いてINVISIBLEFERRETのJavaScript亜種を展開し、これにより多数の暗号資産の強奪が発生しています。

EtherHidingの仕組み

EtherHidingは2023年9月に、金銭目的のCLEARFAKEキャンペーン（UNC5142）の主要コンポーネントとして登場しました。CLEARFAKEは、偽のブラウザ更新プロンプトのような欺瞞的オーバーレイを用いて、ユーザーに悪性コードを実行させる手口です。

EtherHidingでは、JavaScriptペイロードなどの形をとる悪性コードを、BNB Smart ChainやEthereumといったパブリックブロックチェーン上のスマートコントラクト内に埋め込みます。このアプローチにより、ブロックチェーンは分散型で非常に堅牢なコマンド＆コントロール（C2）サーバーへと実質的に変貌します。

典型的な攻撃チェーンは次のように展開します：

1. 初期侵害：DPRKの脅威アクターは通常、初期侵害にソーシャルエンジニアリング（例：偽の採用面接、暗号資産ゲームなど）を利用します。加えてCLEARFAKEキャンペーンでは、攻撃者は脆弱性や盗難認証情報を通じて、正規のWebサイト（多くはWordPressサイト）へのアクセスをまず獲得します。

2. ローダースクリプトの注入：攻撃者は、侵害したWebサイトに「ローダー」と呼ばれる小さなJavaScriptコード片を注入します。

3. 悪性ペイロードの取得：ユーザーが侵害されたWebサイトを訪れると、ローダースクリプトがブラウザ内で実行されます。次にこのスクリプトはブロックチェーンと通信し、リモートサーバーに保存された主要な悪性ペイロードを取得します。このステップの重要な点は、ブロックチェーン上にトランザクションを作成しない読み取り専用の関数呼び出し（例：eth_call）を使用することです。これにより、マルウェアの取得は秘匿性が高く、トランザクション手数料（いわゆるガス代）も回避できます。

4. ペイロードの実行：取得後、悪性ペイロードは被害者のコンピュータ上で実行されます。これにより、偽のログインページの表示、情報窃取型マルウェアのインストール、ランサムウェアの展開など、さまざまな悪性活動につながり得ます。

攻撃者にとっての利点

EtherHidingは攻撃者に複数の重要な利点を提供し、緩和が特に難しい脅威として位置付けられます：

• 分散性と耐障害性：悪性コードは分散型かつパーミッションレスなブロックチェーンに保存されるため、法執行機関やサイバーセキュリティ企業が停止できる中央サーバーが存在しません。ブロックチェーン自体が稼働している限り、悪性コードはアクセス可能なままです。

• 匿名性：ブロックチェーン取引の擬似匿名性により、スマートコントラクトを展開した攻撃者の身元を追跡することが困難になります。

• 不変性：いったんスマートコントラクトがデプロイされると、その内部の悪性コードは通常、コントラクト所有者以外によって容易に削除・改変できません。 

• ステルス性：攻撃者は、ブロックチェーン上に可視のトランザクション履歴を残さない読み取り専用呼び出しで悪性ペイロードを取得できるため、活動の追跡がより困難になります。

• 柔軟性：スマートコントラクトを制御する攻撃者は、いつでも悪性ペイロードを更新できます。これにより、攻撃手法の変更、ドメインの更新、あるいはスマートコントラクトを更新するだけで、侵害されたWebサイトに対して同時に異なる種類のマルウェアを展開することが可能になります。

要するに、EtherHidingは次世代の「防弾ホスティング」への移行を示しており、ブロックチェーン技術の本来の特性が悪用目的に転用されています。この手法は、攻撃者が新技術を取り込み自らの優位性のために活用することで、サイバー脅威が継続的に進化していることを浮き彫りにしています。

DPRKのソーシャルエンジニアリング・キャンペーン

北朝鮮のソーシャルエンジニアリング・キャンペーンは、採用応募と面接プロセスを巧妙に悪用する、高度で継続的なサイバー諜報および金銭目的の作戦です。このキャンペーンは開発者、特に暗号資産およびテクノロジー分野の開発者を標的にし、機微なデータや暗号資産を盗み、企業ネットワークへの永続的アクセスを獲得します。

このキャンペーンには、北朝鮮の戦略目標に合致する二重の目的があります：

• 金銭的利益：主要な目的は暗号資産やその他の金融資産の窃取であり、体制の収益源を生み出して国際制裁の回避を支援します。

• 諜報活動：開発者を侵害することで、価値あるインテリジェンスを収集し、将来の作戦に向けてテクノロジー企業内に足掛かりを得ることを狙います。

このキャンペーンは、正規の採用プロセスを模倣した巧妙なソーシャルエンジニアリング手口を特徴とします。

1. フィッシングの誘い（ルアー）：

• 偽のリクルーターと企業：脅威アクターは、LinkedInのようなプロフェッショナル向けSNSや求人掲示板に、説得力はあるものの不正なプロフィールを作成します。著名なテック企業や暗号資産企業のリクルーターになりすますことがよくあります。

• 捏造された企業：場合によっては、「BlockNovas LLC」「Angeloper Agency」「SoftGlideLLC」といった実体のない組織の偽の企業WebサイトやSNSアカウントまで用意し、正当性を装うこともあります。

• 標的型アプローチ：ソフトウェア開発者やWeb開発者などの潜在的被害者に対し、魅力的な求人オファーで積極的に接触します。

2. 面接プロセス：

• 初期接触：偽のリクルーターが候補者とやり取りし、会話をTelegramやDiscordなどのプラットフォームへ移すことがよくあります。

• 悪性タスク：攻撃の中核は技術評価フェーズで発生します。候補者はコーディングテストの実施やプロジェクトのレビューを求められ、GitHubなどのリポジトリからファイルをダウンロードする必要があります。これらのファイルには悪性コードが含まれています。

• 欺瞞的ツール：別の亜種では、候補者がビデオ面接に招待され、偽のエラーメッセージ（ClickFixと呼ばれる手法）を表示されます。続行するには「修正」や特定ソフトウェアのダウンロードが必要だと促されますが、実際にはそれがマルウェアです。

3. 感染チェーン：

このキャンペーンは、多段階のマルウェア感染プロセスを用いて被害者のシステムを侵害し、Windows、macOS、Linuxシステムに影響を及ぼすことがよくあります。

• 初期ダウンローダー（例： JADESNOW）：被害者がダウンロードする悪性パッケージは、npm（Node Package Manager）レジストリ上でホストされていることが多いです。これらのローダーは初期のシステム情報を収集し、次段階のマルウェアをダウンロードする場合があります。

• 第2段階マルウェア（例： BEAVERTAIL、JADESNOW）：JavaScriptベースのマルウェアは機微データの探索と流出を目的として設計されており、特に暗号資産ウォレット、ブラウザ拡張機能データ、認証情報に重点を置きます。攻撃チェーンへのJADESNOWの追加は、UNC5342が第3段階バックドアINVISIBLEFERRETを配信するためにEtherHidingへ移行したことを示しています。

• 第3段階バックドア（例： INVISIBLEFERRET）：高価値標的に対しては、より永続的なバックドアが展開されます。INVISIBLEFERRETはPythonベースのバックドアで、攻撃者に侵害システムのリモート制御を提供し、長期的な諜報、データ窃取、ネットワーク内でのラテラルムーブメントを可能にします。 

JADESNOW

JADESNOWは、脅威クラスターUNC5342に関連するJavaScriptベースのダウンローダー型マルウェアファミリーです。JADESNOWはEtherHidingを利用して、BNB Smart ChainおよびEthereum上のスマートコントラクトから悪性ペイロードを取得、復号、実行します。スマートコントラクトに保存される入力データは、Base64エンコードおよびXOR暗号化されている場合があります。JADESNOW感染チェーンの最終ペイロードは通常、INVISIBLEFERRET.JAVASCRIPTのような、より永続的なバックドアであることが多いです。

JADESNOWの展開と運用は、CLEARFAKEのようにEtherHidingを実装する類似キャンペーンとは異なります。CLEARFAKE キャンペーンは、脅威クラスターUNC5142に関連し、悪性JavaScriptフレームワークとして機能し、侵害されたWebサイト上でGoogle Chromeのブラウザ更新ポップアップを装うことがよくあります。埋め込まれたJavaScriptの主な機能は、ユーザーが「Update Chrome」ボタンをクリックした後にペイロードをダウンロードすることです。第2段階ペイロードは、BNB Smart Chain上に保存された別のBase64エンコード済みJavaScriptです。最終ペイロードは、画像や設定ファイルなど正規の更新の一部を構成する他のファイルと一緒にバンドルされる場合がありますが、マルウェア自体は通常LUMASTEALERのようなインフォスティーラーです。

図1は、ソーシャルエンジニアリング攻撃チェーンの一般的な概要を示しています。被害者は悪性の面接課題を受け取り、コードを実行するよう欺かれます。そのコードは、悪性スマートコントラクトとやり取りし第2段階ペイロードをダウンロードする初期JavaScriptダウンローダーを実行します。スマートコントラクトは、Ethereumとやり取りして第3段階ペイロード（この場合INVISIBLEFERRET.JAVASCRIPT）を取得するJADESNOWダウンローダーをホストします。ペイロードはメモリ上で実行され、追加の 認証情報窃取 コンポーネントを問い合わせるためにEthereumを参照する場合があります。脅威アクターがEtherHiding活動に複数のブロックチェーンを利用するのは珍しく、北朝鮮のサイバー運用者チーム間での運用上の区分（コンパートメント化）を示唆する可能性があります。最後に、キャンペーンはEtherHidingの柔軟性を活用して感染チェーンを更新し、ペイロード配信場所を移動することが頻繁にあります。あるトランザクションで、JADESNOWダウンローダーはEthereum上のペイロード取得からBNB Smart Chain上の取得へ切り替えることができます。この切り替えは解析を複雑にするだけでなく、代替ネットワークが提供する低いトランザクション手数料も活用します。

悪性スマートコントラクト

BNB Smart ChainとEthereumはいずれも、分散型アプリケーション（dApps）とスマートコントラクトを実行するよう設計されています。スマートコントラクトとは、特定の条件や合意が満たされたときに自動的にアクションを実行するブロックチェーン上のコードであり、仲介者なしに安全で透明性の高い自動化された合意を可能にします。スマートコントラクトはバイトコードにコンパイルされてブロックチェーンにアップロードされるため、公開され、逆アセンブルして分析できるようになります。

BNB Smart ChainはEthereumと同様、Ethereum Virtual Machine（EVM）向けにプログラムされたスマートコントラクトをサポートする、分散型かつパーミッションレスなブロックチェーンネットワークです。スマートコントラクトは分散型アプリケーションを構築する革新的な方法を提供する一方、その変更不可能な性質がEtherHidingで悪用され、容易にブロックできない形で悪性コードをホストし配信するために利用されます。

EtherHidingの目的でEthereumとBNB Smart Chainを利用することは、ブロックチェーン上のカスタムスマートコントラクトを呼び出すだけなので容易です。UNC5342のブロックチェーンネットワークとのやり取りは、CLEARFAKEで見られたRemote Procedure Call（RPC）エンドポイントではなく、中央集権型のAPIサービスプロバイダーを通じて行われています。GTIGが連絡したところ、責任あるAPIサービスプロバイダーはこの悪性活動に対して迅速に対応しましたが、他の複数のプラットフォームは無反応のままです。この無関心と協力不足は重大な懸念であり、この手法が脅威アクターの間で拡散するリスクを高めます。

JADESNOWのオンチェーン分析

初期ダウンローダーは、Binplorerを含む複数のAPIプロバイダーを通じてBNB Smart Chainを照会し、アドレス0x8eac3198dd72f3e07108c4c7cff43108ad48a71cのスマートコントラクトに保存されたJADESNOWペイロードを読み取ります。

図2は、トランザクション履歴からスマートコントラクトに保存されたデータを読み取るAPI呼び出しの例です。トランザクション詳細から、このコントラクトは最初の4か月間に20回以上更新され、各更新のガス代は平均1.37米ドルであることが分かります。更新コストの低さと頻度は、攻撃者がキャンペーンの設定を容易に変更できることを示しています。このスマートコントラクトは、2025年6月に侵害されたnpmパッケージを介してReact Native AriaおよびGlueStackに影響を与えたソフトウェアサプライチェーン攻撃にも関連付けられています

{
    timestamp: 1738949853,
    transactionHash: "0x5c77567fcf00c317b8156df8e00838105f16fdd4fbbc6cd83d624225397d8856",
    tokenInfo: {
        address: "0x8eac3198dd72f3e07108c4c7cff43108ad48a71c",
        (...)
        owner: "0x9bc1355344b54dedf3e44296916ed15653844509",
        (...)
        txsCount: 22,
        (...)
    },
    type: "issuance",
    value: "1",
    priority: 127,
    address: "0x9bc1355344b54dedf3e44296916ed15653844509"
}

図2：トランザクション履歴のABI呼び出し

これらのトランザクションの最終宛先アドレスは重要ではありません。マルウェアはトランザクション詳細に保存されたデータを読み取るだけであり、ブロックチェーントランザクションを実質的にデッドドロップ・リゾルバとして使用しています。これらのトランザクションは頻繁に生成されており、C2サーバーの変更を含め、単純なブロックチェーントランザクションでキャンペーンを容易に更新できることを示しています。

メモリ上のペイロードは、複数のブロックチェーンエクスプローラーAPIを介してEthereumを照会し、オンチェーンに保存された情報を取得して評価します。複数のエクスプローラー（Blockchair、Blockcypher、Ethplorerを含む）を同時に照会しており、ペイロード取得を確実にするためのフェイルセーフと考えられます。Ethplorerが開発用途として提供するapiKey=freekeyのような無料APIキーでも、厳しい利用制限があるにもかかわらず、JADESNOWの運用には十分です。

ペイロード分析

第3段階は、Ethereumのトランザクションアドレス0x86d1a21fd151e344ccc0778fd018c281db9d40b6ccd4bdd3588cb40fade1a33aに保存されたINVISIBLEFERRET.JAVASCRIPTペイロードです。このペイロードは、MySQLのデフォルトポートである3306番ポートを介してC2サーバーに接続します。被害者のホスト名、ユーザー名、OS、そしてバックドアが現在実行されているディレクトリを含む初期ビーコンを送信します。その後バックドアはバックグラウンドで動作し、C2からのコマンド受信を待ち受けます。コマンドハンドラは任意コマンド実行、ディレクトリ変更の組み込みコマンド実行、被害者システムからのファイル／ディレクトリ／サブディレクトリの流出に対応できます。

INVISIBLEFERRET.JAVASCRIPTペイロードは、トランザクションアドレス0xc2da361c40279a4f2f84448791377652f2bf41f06d18f19941a96c720228cd0fで行われているように、複数のコンポーネントに分割される場合もあります。分割されたJavaScriptペイロードはINVISIBLEFERRET.JAVASCRIPTバックドアを実行し、さらにトランザクションアドレス0xf9d432745ea15dbc00ff319417af3763f72fcf8a4debedbfceeef4246847ce41に保存された追加の認証情報窃取コンポーネントを実行するために、ポータブルなPythonインタプリタのインストールを試みます。この追加の認証情報窃取コンポーネントは、Google ChromeやMicrosoft EdgeなどのWebブラウザを標的にし、保存されたパスワード、セッションクッキー、クレジットカード情報を流出させます。INVISIBLEFERRET.JAVASCRIPTの認証情報窃取コンポーネントは、MetaMaskやPhantomなどの暗号資産ウォレット、さらにパスワードマネージャー（例：1Password）など他の機微アプリケーションの認証情報も標的にします。データはZIPアーカイブに圧縮され、攻撃者が管理するリモートサーバーおよび非公開のTelegramチャットにアップロードされます。

EtherHidingにおける中央集権的依存関係

分散性はブロックチェーンネットワークやその他のWeb3技術の中核原則です。しかし実際には、中央集権的サービスがしばしば利用され、それが機会とリスクの双方をもたらします。BNB Smart Chainのようなブロックチェーンは不変でパーミッションレスであり、その上にデプロイされたスマートコントラクトは削除できませんが、これらのブロックチェーンを利用する脅威アクターの運用が止められないわけではありません。

北朝鮮のUNC5342も脅威アクターUNC5142も、スマートコントラクトから情報を取得する際にBNB Smart Chainと直接やり取りしているわけではありません。両者とも、Webホスティングのような従来のWeb2サービスの利用に近い、中央集権的サービスを利用しています。これにより、洞察力のある防御側はこうした脅威を緩和する機会を得られます。これらの中央集権的仲介者は観測と制御のポイントとなり、トラフィックの監視や、ブロック、アカウント停止、その他の方法による悪性活動への対処が可能です。言い換えれば、UNC5142とUNC5342は、パーミッションレスなブロックチェーンとやり取りするために、パーミッション付きサービスを利用しています。

これらの脅威アクターは、ブロックチェーンネットワークとのインターフェースに中央集権的サービスを利用する点で、2つの異なるアプローチを示しています：

1. UNC5142（CLEARFAKE）はEtherHiding活動でRPCエンドポイントを使用します。これにより、第三者がホストするBNB Smart Chainノードと、ブロックチェーンノードの「母語」に近い形で直接通信できます。 

2. UNC5342（DPRK）は、脅威アクターとブロックチェーンの間に抽象化レイヤーとして機能する、中央主体がホストするAPIサービスを使用します。

違いは微妙ですが、これらの仲介サービスは脅威アクターの運用に直接影響を与え得る位置にあります。これらの運用で観測されていない別のアプローチとして、ブロックチェーンネットワークに完全統合されたノードを運用する方法があります。フルノードの運用はリソース集約的で、同期に時間がかかり、追跡可能な大きなハードウェアおよびネットワーク上の痕跡を生むため、サイバー作戦においては扱いにくくリスクの高い手段となります。

推奨事項

EtherHidingは新たな課題を提示します。従来のキャンペーンは、既知のドメインやIPをブロックすることで通常は停止してきました。マルウェア作者は、スマートコントラクトが自律的に動作し停止できないため、ブロックチェーンを利用してさらなるマルウェア拡散段階を実行する可能性があります。

セキュリティ研究者が（図5のBscScanの警告のように）公式ブロックチェーンスキャナー上でコントラクトを悪性としてタグ付けし、コミュニティに警告しようとしても、悪性活動は依然として実行され得ます。

Chrome Enterprise：中央集権的な緩和策

Chrome Enterpriseは、中央集権的な管理機能を用いて、攻撃チェーンを直接妨害するポリシーを強制することで、EtherHidingの影響を防ぐ強力な手段となり得ます。このアプローチは、個々のユーザーの判断に依存するセキュリティから、中央集権的で自動化されたシステムへと移行させます。

Chrome Enterpriseの中核的な強みはChrome Browser Cloud Managementにあります。このプラットフォームにより、管理者は組織内のすべての管理対象ブラウザに対してセキュリティポリシーを設定・強制でき、ユーザーの場所やデバイスに関係なく一貫した保護を確保できます。

EtherHidingに対しては、管理者が、個々のユーザーが正しいセキュリティ判断を下すことに依存しない防御戦略を展開できることを意味します。

主要な防止ポリシーと戦略

管理者は特定のポリシーを用いて、複数のポイントでEtherHiding攻撃を断ち切ることができます：

1. 悪性ダウンロードのブロック

これは攻撃を止める最も直接的で効果的な方法です。EtherHidingキャンペーンの最終ステップでは、ユーザーが悪性ファイル（例：偽の更新プロンプトから）をダウンロードして実行する必要があります。Chrome Enterpriseはこれを完全に防止できます。

• DownloadRestrictionsポリシー：管理者はこのポリシーを設定して、危険なファイルタイプのダウンロードをブロックできます。このポリシーで.exe、.msi、.bat、.dllなどのファイルタイプをブロックするよう設定すれば、悪性ペイロードはユーザーのコンピュータに保存できなくなり、攻撃を効果的に停止できます。

2. ブラウザ更新の自動化と管理

EtherHidingはソーシャルエンジニアリングに大きく依存しており、特に「Chromeが古くなっています」とユーザーに告げるポップアップを用います。管理された企業環境では、これは即座に危険信号であるべきです。

• Managed Updates：管理者はChrome Enterpriseを使用してブラウザ更新を制御し自動化します。更新はバックグラウンドで静かに自動適用されます。

• ユーザートレーニング：更新が管理されているため、従業員にはシンプルで強力なメッセージで教育できます：「手動でChromeを更新するよう求められることは決してありません。」そのようなプロンプトは詐欺と見なされ、主要なソーシャルエンジニアリング手口を無効化できます。

3. Webアクセスとスクリプトの制御

攻撃者はインフラを絶えず変更しますが、ポリシーによって初期攻撃面を減らすことは可能です。

• URLBlocklist ポリシー：管理者は、既知の悪性Webサイト、ドメイン、あるいは脅威インテリジェンスで特定された場合にはブロックチェーンノードのURLへのアクセスさえブロックできます。

• Safe Browsing：ポリシーにより、GoogleのSafe Browsingを最も強化されたモードで強制できます。これはリアルタイムの脅威インテリジェンスを用いて、フィッシングサイトや悪性ダウンロードについてユーザーに警告します。

謝辞

本分析は、Koreas Mission、FLARE、Advanced Practicesを含むGoogle Threat Intelligence Group全体からの支援なしには実現しませんでした。

侵害指標（IoC）

rule G_Downloader_JADESNOW_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$s1 = "global['_V']"
		$s2 = "global['r']"
		$s3 = "umP"
		$s4 = "mergeConfig"
		$s5 = "charAt" nocase
	condition:
		uint16(0) != 0x5A4D and filesize < 10KB and #s3 > 2 and #s5 == 1 and all of them
}