DeadLockとして知られるランサムウェア作戦が、Polygonブロックチェーンのスマートコントラクトを悪用してプロキシサーバーアドレスを管理・ローテーションしているのが観察されています。
DeadLockは2025年7月に最初に現れ、それ以来比較的目立たない活動を続けています。既知のランサムウェアアフィリエイトプログラムとは関連しておらず、公開データ流出サイトを運営していません。
報告されている被害者の数は限定的ですが、Group-IBの研究者は、その新規性と他の脅威行為者による再利用の可能性により、その技術的アプローチは注目に値すると述べています。
新しいDeadLockインフラストラクチャ
サイバーセキュリティ企業が観察した最新のDeadLockサンプルには、Session暗号化メッセージングプラットフォームを通じて被害者と通信するために使用されるHTMLファイルが含まれています。
ハードコードされたサーバーに依存する代わりに、マルウェアはPolygonスマートコントラクト内に保存されているプロキシアドレスを取得します。
Group-IBは、ブロックチェーンからのデータ取得はトランザクションを生成せず、ネットワーク料金も発生させない読み取り専用呼び出しに依存しており、この設計上の選択により従来のブロッキングアプローチが複雑になることに注目しています。
呼び出し内で見つかったJavaScriptコードは、特定のPolygonスマートコントラクトに問い合わせて現在のプロキシURLを取得します。そのプロキシは、被害者と攻撃者のSession IDの間で暗号化されたメッセージをリレーします。
-
Polygonブロックチェーンにおけるプロキシアドレスの分散ストレージ
-
複数のRPCエンドポイントを使用するフォールバックメカニズム
-
オンデマンドでインフラストラクチャを更新するためのスマートコントラクト関数の使用
サイバー犯罪におけるブロックチェーンの悪用についてもっと読む:悪意のあるnpmパッケージがEthereumスマートコントラクトを悪用
この研究は、複数のスマートコントラクトを単一の作成者ウォレットにリンクしており、それは展開の直前に資金提供されました。トランザクション履歴は、時間とともに新しいプロキシサーバーを設定するために同じ方法が使用されていることを示しており、インフラストラクチャのアクティブな管理を示唆しています。
防御者への広範な影響
Group-IBは、DeadLockがリモート管理ツールとしてAnyDeskも使用し、PowerShellスクリプトをデプロイしてサービスを停止し、シャドウコピーを削除して、暗号化の影響を増加させていると述べています。
被害者のファイルは.dlock拡張子に名前が変更され、その後の身代金メモは支払いがない場合は盗まれたデータを販売すると脅しています。
研究者は、スマートコントラクトが悪意のあるペイロードやコマンドの場所を保存するために使用された場合を含む、同様のブロックチェーンベースの技術が最近、他のキャンペーンで報告されていることを説明しました。
DeadLockは低ボリュームのままですが、Polygonスマートコントラクトの使用は、分散化されたプラットフォームがレジリエントなコマンド・アンド・コントロール(C2)のためにどのように転用できるかを実証しています。
調査結果は、マルウェア操作のための公開ブロックチェーンの悪用が増加する可能性があることを示唆しており、分散化技術の正当な使用を妨げることなく検出戦略を適応させるよう防御者に課題を与えています。
翻訳元: https://www.infosecurity-magazine.com/news/deadlock-polygon-smart-contracts/
