北朝鮮から新たなサイバー脅威が出現しており、国家支援のハッカーたちがマリシャスコードをブロックチェーンネットワークに直接埋め込む実験を行っています。Googleの脅威インテリジェンスグループ（GTIG）は10月17日、EtherHidingと呼ばれるこの手法が、ハッカーがマルウェアを分散型システム全体で隠蔽、配布、制御する方法における新たな進化を示していると報告しました。EtherHidingとは何か？ GTIGによると、EtherHidingは攻撃者がスマートコントラクトとイーサリアムブロックチェーンやBNB Smart Chainなどのパブリックチェーンを悪用し、悪意のあるペイロードを保存することを可能にします。コードが一度これらの分散型台帳にアップロードされると、その不変性により削除やブロックがほぼ不可能になります。 「スマートコントラクトは分散型アプリケーションを構築する革新的な方法を提供しますが、その変更不可能な性質がEtherHidingで悪用され、簡単にブロックできない方法でマリシャスコードをホストして提供しています」とGTIGは述べています。 実際には、ハッカーは正規のWordPressウェブサイトを侵害し、多くの場合、パッチが適用されていない脆弱性や盗まれた認証情報を悪用します。アクセスを獲得した後、「ローダー」として知られるJavaScriptの数行をウェブサイトのコードに挿入します。訪問者が感染したページを開くと、ローダーは静かにブロックチェーンに接続し、リモートサーバーからマルウェアを取得します。BNB ChainとイーサリアムにおけるEtherHiding。出典：Google脅威インテリジェンスグループ GTIGは、この攻撃がオフチェーンで発生するため、目に見える取引の痕跡を残さず、ほとんど手数料が必要ないか全く必要ないと指摘しています。これにより、本質的に攻撃者は検出されずに活動できます。特筆すべきは、GTIGがEtherHidingの最初の事例を2023年9月に追跡し、CLEARFAKEとして知られるキャンペーンで現れたことです。これは偽のブラウザ更新プロンプトでユーザーを騙すものでした。攻撃を防ぐ方法 サイバーセキュリティ研究者たちは、この戦術が北朝鮮のデジタル戦略が単に暗号資産を盗むことからブロックチェーン自体をステルス兵器として使用することへの転換を示していると述べています。 「EtherHidingは次世代の防弾ホスティングへの移行を表しており、ブロックチェーン技術の固有の特徴が悪意のある目的のために再利用されています。この手法は、攻撃者が適応し、新しい技術を自分たちの有利に活用するにつれて、サイバー脅威が継続的に進化していることを強調しています」とGTIGは述べました。 Citizen Labの上級研究員であるJohn Scott-Railtonは、EtherHidingを「初期段階の実験」と表現しました。彼はAI駆動の自動化と組み合わせることで、将来の攻撃がさらに検出しにくくなる可能性があると警告しました。 「攻撃者はまた、ブロックチェーンを処理するシステムやアプリを標的にしたゼロクリックエクスプロイトをブロックチェーンに直接ロードする実験も行うと予想しています...特に、それらが時々取引を処理するのと同じシステムやネットワーク上でホストされている場合や、ウォレットを持っている場合」と彼は付け加えました。 この新しい攻撃ベクトルは、北朝鮮の攻撃者が非常に多産であることを考えると、暗号資産業界に深刻な影響を与える可能性があります。TRM Labsのデータによると、北朝鮮関連グループは今年だけで15億ドル以上の暗号資産を盗んでいます。調査官たちは、これらの資金が平壌の軍事プログラムや国際制裁を回避する取り組みの資金調達に役立っていると考えています。これを踏まえ、GTIGは暗号資産ユーザーに対し、不審なダウンロードをブロックし、許可されていないウェブスクリプトを制限することでリスクを軽減するよう助言しました。同グループはまた、セキュリティ研究者にブロックチェーンネットワーク内に埋め込まれた悪意のあるコードを特定しラベル付けするよう促しました。北朝鮮から新たなサイバー脅威が出現しており、国家支援のハッカーたちがマリシャスコードをブロックチェーンネットワークに直接埋め込む実験を行っています。Googleの脅威インテリジェンスグループ（GTIG）は10月17日、EtherHidingと呼ばれるこの手法が、ハッカーがマルウェアを分散型システム全体で隠蔽、配布、制御する方法における新たな進化を示していると報告しました。EtherHidingとは何か？ GTIGによると、EtherHidingは攻撃者がスマートコントラクトとイーサリアムブロックチェーンやBNB Smart Chainなどのパブリックチェーンを悪用し、悪意のあるペイロードを保存することを可能にします。コードが一度これらの分散型台帳にアップロードされると、その不変性により削除やブロックがほぼ不可能になります。 「スマートコントラクトは分散型アプリケーションを構築する革新的な方法を提供しますが、その変更不可能な性質がEtherHidingで悪用され、簡単にブロックできない方法でマリシャスコードをホストして提供しています」とGTIGは述べています。 実際には、ハッカーは正規のWordPressウェブサイトを侵害し、多くの場合、パッチが適用されていない脆弱性や盗まれた認証情報を悪用します。アクセスを獲得した後、「ローダー」として知られるJavaScriptの数行をウェブサイトのコードに挿入します。訪問者が感染したページを開くと、ローダーは静かにブロックチェーンに接続し、リモートサーバーからマルウェアを取得します。BNB ChainとイーサリアムにおけるEtherHiding。出典：Google脅威インテリジェンスグループ GTIGは、この攻撃がオフチェーンで発生するため、目に見える取引の痕跡を残さず、ほとんど手数料が必要ないか全く必要ないと指摘しています。これにより、本質的に攻撃者は検出されずに活動できます。特筆すべきは、GTIGがEtherHidingの最初の事例を2023年9月に追跡し、CLEARFAKEとして知られるキャンペーンで現れたことです。これは偽のブラウザ更新プロンプトでユーザーを騙すものでした。攻撃を防ぐ方法 サイバーセキュリティ研究者たちは、この戦術が北朝鮮のデジタル戦略が単に暗号資産を盗むことからブロックチェーン自体をステルス兵器として使用することへの転換を示していると述べています。 「EtherHidingは次世代の防弾ホスティングへの移行を表しており、ブロックチェーン技術の固有の特徴が悪意のある目的のために再利用されています。この手法は、攻撃者が適応し、新しい技術を自分たちの有利に活用するにつれて、サイバー脅威が継続的に進化していることを強調しています」とGTIGは述べました。 Citizen Labの上級研究員であるJohn Scott-Railtonは、EtherHidingを「初期段階の実験」と表現しました。彼はAI駆動の自動化と組み合わせることで、将来の攻撃がさらに検出しにくくなる可能性があると警告しました。 「攻撃者はまた、ブロックチェーンを処理するシステムやアプリを標的にしたゼロクリックエクスプロイトをブロックチェーンに直接ロードする実験も行うと予想しています...特に、それらが時々取引を処理するのと同じシステムやネットワーク上でホストされている場合や、ウォレットを持っている場合」と彼は付け加えました。 この新しい攻撃ベクトルは、北朝鮮の攻撃者が非常に多産であることを考えると、暗号資産業界に深刻な影響を与える可能性があります。TRM Labsのデータによると、北朝鮮関連グループは今年だけで15億ドル以上の暗号資産を盗んでいます。調査官たちは、これらの資金が平壌の軍事プログラムや国際制裁を回避する取り組みの資金調達に役立っていると考えています。これを踏まえ、GTIGは暗号資産ユーザーに対し、不審なダウンロードをブロックし、許可されていないウェブスクリプトを制限することでリスクを軽減するよう助言しました。同グループはまた、セキュリティ研究者にブロックチェーンネットワーク内に埋め込まれた悪意のあるコードを特定しラベル付けするよう促しました。