Ethereumスマートコントラクトを使用してコマンド・アンド・コントロール(C2)インフラストラクチャを隠す新しいEtherRATマルウェアキャンペーンが研究者によって特定されました。
eSentireが3月25日に公開した新しい勧告によると、2026年3月の小売セクターでのインシデント対応調査中に、敵対者が初期アクセスを獲得した後、Node.jsベースのバックドアを展開する活動が観察されました。
研究者は、このマルウェアが攻撃者にコマンドをリモートで実行させ、広範なシステムデータを収集し、暗号通貨ウォレットとクラウド認証情報を盗むことを可能にすることを発見しました。
最も注目すべき発展は、EtherHidingとして知られている技術の使用であり、これはEthereumスマートコントラクト内にC2アドレスを保存し、オペレーターが低コストでインフラストラクチャをローテーションし、従来の削除の取り組みを回避することを可能にします。
コマンドインフラストラクチャに使用されるEthereumスマートコントラクト
調査官は、ClickFixアタックおよびMicrosoft Teamsを通じて実施されたITサポート詐欺を含む、初期アクセスを取得するために使用された複数の方法を観察し、その後QuickAssistリモートアクセスが続きました。
ClickFixの場合、攻撃者はWindows ユーティリティを通じて悪意のあるスクリプトを起動するために間接的なコマンド実行を使用し、セキュリティ制限をバイパスしました。
感染チェーンは、暗号化されたペイロードと難読化されたスクリプトを含む複数のステージを含み、最終的にEtherRATを展開し、Windowsレジストリキーを通じて永続性を確立しました。
インストール後、EtherRATはパブリックRPCプロバイダー経由でEthereumブロックチェーンスマートコントラクトからC2アドレスを取得しました。その後、マルウェアは通常のコンテンツ配信ネットワークリクエストに類似した設計のトラフィックを使用してサーバーと通信し、正当なネットワークアクティビティに溶け込むのに役立ちました。
Ethereumスマートコントラクトとマルウェアインフラストラクチャについてもっと詳しく読む:悪意のあるnpmパッケージがEthereumスマートコントラクトを悪用
eSentireは述べています:攻撃者はスマートコントラクトに新しいデータを書き込むことでC2アドレスを更新でき、以前に感染したマシンが最小限のコストで新しいサーバーに再接続することを可能にします。
システムフィンガープリンティングとデータ収集
-
パブリックIPアドレス
-
CPUおよびGPU情報
-
オペレーティングシステムとハードウェアの識別子
-
アンチウイルスソフトウェアの詳細
-
ドメインと管理者ステータス
マルウェアはシステム言語設定もチェックし、特定のCIS(独立国家共同体)地域の言語が検出された場合、自身を削除しました。
レポートは、組織が特定のWindows ユーティリティを無効にし、ITサポート詐欺を認識するようにスタッフを訓練し、攻撃者が一般的に使用する暗号通貨RPCプロバイダーをブロックすることを検討すべきであると結論付けています。
翻訳元: https://www.infosecurity-magazine.com/news/etherrat-bypass-security-ethereum/
