北朝鮮のハッカーは現在、暗号資産の窃盗操作を容易にするためのマルウェア配信に、EtherHidingと呼ばれるブロックチェーンベースの手法を使用しています。専門家によると、北朝鮮のハッカーがこの手法を使用しているのが発見されました。攻撃者はブロックチェーンベースのスマートコントラクト内にJavaScriptペイロードなどのコードを埋め込みます。
この手法を使用することで、ハッカーは分散型台帳を堅牢なコマンド・アンド・コントロール(C2)に変えています。Google脅威インテリジェンスグループ(GTIG)が公開したブログ投稿によると、この規模の攻撃者がこの手法を使用しているのを観測したのは今回が初めてだとのことです。EtherHidingの使用は、従来のテイクダウンやブロックリスト化の取り組みに対して便利であると主張しています。脅威インテリジェンスグループは、2025年2月からUNC5342という脅威アクターを追跡しており、進行中のソーシャルエンジニアリングキャンペーンにEtherHidingを統合していると述べています。
北朝鮮のハッカーがEtherHidingに転向
Googleは、EtherHidingの使用をPalo Alto NetworksがContagious Interviewとして追跡しているソーシャルエンジニアリングキャンペーンに関連付けていると述べています。Contagious Interviewは北朝鮮の攻撃者によって実行されました。Socketの研究者によると、このグループは新しいマルウェアローダーであるXORIndexで活動を拡大しました。このローダーは何千ものダウンロード数を蓄積しており、ターゲットは求職者やデジタル資産または機密認証情報を所有していると思われる個人です。
このキャンペーンでは、北朝鮮のハッカーはJADESNOWマルウェアを使用して、INVISIBLEFERRETのJavaScriptバリアントを配布しています。これは多くの暗号資産の窃盗に使用されてきました。このキャンペーンは暗号資産およびテクノロジー業界の開発者をターゲットにし、機密データやデジタル資産を盗み、企業ネットワークへのアクセスを獲得します。また、偽の採用担当者や架空の企業を使用して、正当な採用プロセスをコピーするソーシャルエンジニアリング戦術を中心に展開しています。
偽の採用担当者は、候補者をTelegramやDiscordなどのプラットフォームに誘い込むために使用されます。その後、技術評価や面接の修正を装った偽のコーディングテストやソフトウェアのダウンロードを通じて、マルウェアがシステムやデバイスに配信されます。このキャンペーンは多段階のマルウェア感染プロセスを使用しており、通常JADESNOW、INVISIBLEFERRET、BEAVERTAILなどのマルウェアが関与して被害者のデバイスを侵害します。このマルウェアはWindows、Linux、macOSシステムに影響を与えます。
研究者がEtherHidingの欠点を詳述
EtherHidingは攻撃者に優位性を提供し、GTIGはこれが特に対策が困難な脅威として機能すると指摘しています。EtherHidingの懸念すべき中核要素の一つは、その性質が分散型であることです。これは許可不要の分散型ブロックチェーンに保存されるため、中央サーバーがないため、法執行機関やサイバーセキュリティ企業がこれを排除することが困難になります。ブロックチェーントランザクションの匿名性により、攻撃者のアイデンティティを追跡することも困難です。
また、契約の所有者でない場合、ブロックチェーンにデプロイされたスマートコントラクト内の悪意のあるコードを削除することも困難です。スマートコントラクトを制御する攻撃者、この場合は北朝鮮のハッカーは、いつでも悪意のあるペイロードを更新することを選択できます。セキュリティ研究者は悪意のある契約にタグ付けすることでコミュニティに警告しようとするかもしれませんが、それでもハッカーがスマートコントラクトを使用して悪意のある活動を行うことを止めることはできません。
さらに、攻撃者はブロックチェーン上に目に見えるトランザクション履歴を残さない読み取り専用の呼び出しを使用して悪意のあるペイロードを取得できるため、研究者がブロックチェーン上での彼らの活動を追跡することが困難になります。脅威研究レポートによると、EtherHidingは「次世代の防弾ホスティングへのシフト」を表しており、ブロックチェーン技術の最も顕著な特徴が詐欺師によって悪意のある目的に使用されています。
30日間無料でプレミアム暗号資産取引コミュニティに参加 - 通常は$100/月。
Source: https://www.cryptopolitan.com/north-korean-hackers-crypto-stealing-malware/
