2025年夏にサイバー脅威の領域で出現したDeadLockシンジケートは、最も秘匿性が高く、技術的にも高度な存在の一つとして活動を継続している。Group-IBのアナリストは、極めて異例の運用パラダイムを記録している。すなわち同グループは、従来の二重恐喝モデルを採用せず、被害者データを公表したり、専用のリークサイトを運営したりしない。その代わり、強要手段は、流出させた情報を違法な闇フォーラムで競売にかけると脅すことに限定されている。
しかし、調査の焦点は別のところにある。DeadLockはPolygonブロックチェーンのスマートコントラクトを利用して、コマンド&コントロール(C2)インフラを難読化している。この手法により、交渉に用いるプロキシサーバーのアドレスを動的にローテーションでき、従来の防御側によるブロックは事実上無力化される。技術的には、侵害されたホスト上に配置されたHTMLアーティファクトによってこれが実現されており、被害者に分散型メッセージングプラットフォームSessionのインストールを促す。Sessionは、被害者側と攻撃者側の主要な通信経路として機能する。
Group-IBの分析部門の担当者によれば、この目的でスマートコントラクトを展開することは、スキーマが無尽蔵な数の秘匿アドレスの派生形を生成できるため、極めて手強い課題を突きつけるという。この革新は以前から他の脅威アクターの関心も集めていた。例えば2025年末には、Google Threat Intelligenceが、北朝鮮の国家支援オペレーターが同年初頭から、EtherHidingと呼ばれる同種の手法を用いていたと報告している。これらの事例では、悪意のあるコードがスマートコントラクト内に直接埋め込まれており、ほぼ無敵ともいえる運用基盤を提供していた。
Group-IBはDeadLockの初期侵入ベクターをまだ決定的に特定できていないが、Cisco Talosによる予備的な観測では、BYOVD(Bring Your Own Vulnerable Driver)戦術――脆弱なドライバーを投入してアンチウイルスのプロセスを停止させ、防御機構を回避する――が利用された可能性が示唆されている。
現時点では、スマートコントラクトの利用がDeadLockの活動の中で最も綿密に精査されている側面である。その統合は、サイバー犯罪者の武器庫におけるブロックチェーン技術の影響力が拡大していることを浮き彫りにしており、防御側は、より強靭な検知回避の形態に対処するための適応を迫られている。
翻訳元: https://meterpreter.org/the-blockchain-ghost-deadlock-ransomware-uses-smart-contracts-to-defy-bans/
