北朝鮮のハッカーは現在、EtherHidingと呼ばれるブロックチェーンベースの手法を用いて、暗号資産窃盗を容易にするマルウェアを配信しています。専門家によると、北朝鮮のハッカーがこの手法を用いていることが判明しました。この手法では、攻撃者はブロックチェーンベースのスマートtrac内にJavaScriptペイロードなどのコードを埋め込みます。.
この手法を用いて、ハッカーたちは分散型台帳を堅牢なコマンドアンドコントロール(C2)システムへと転換します。Google Threat Intelligence Group(GTIG)が公開したブログ記事によると、この規模の攻撃者がこの手法を用いているのを観測したのは今回が初めてとのことです。同グループは、EtherHidingの使用は、従来の削除やブロックリスト化の試みに対して有効であると主張しています。同グループは、2025年2月から脅威アクターUNC5342を tracており、進行中のソーシャルエンジニアリングキャンペーンにEtherHidingを組み込んでいると述べています。.
北朝鮮のハッカーがEtherHidingに頼る
Googleは、EtherHidingの使用が、Palo Alto Networksが「Contagious Interview」として追跡したソーシャルエンジニアリング攻撃と関連付けられているとtracました。「Contagious Interview」は北朝鮮の攻撃者によって実行されました。Socketの研究者によると、このグループは新たなマルウェアローダー「XORIndex」を導入し、活動を拡大しました。このローダーは数千回ダウンロードされており、求職者やデジタル資産または機密性の高い認証情報を保有しているとみられる個人が標的となっていdent。
このキャンペーンでは、北朝鮮のハッカーはJADESNOWマルウェアを用いて、数多くの仮想通貨窃盗に利用されてきたINVISIBLEFERRETのJavaScript版を配布しています。このキャンペーンは、仮想通貨業界やテクノロジー業界の開発者を標的とし、機密データやデジタル資産を窃取し、企業ネットワークへのアクセスを取得しようとしています。また、偽のリクルーターや架空の企業を用いて、正規の採用プロセスを模倣するソーシャルエンジニアリング戦術も中心となっています。
偽のリクルーターは、TelegramやDiscordなどのプラットフォームに候補者を誘い込むために利用されます。その後、技術評価や面接対策を装った偽のコーディングテストやソフトウェアダウンロードを通じて、マルウェアがシステムやデバイスに侵入します。このキャンペーンでは、JADESNOW、INVISIBLEFERRET、BEAVERTAILなどのマルウェアを含む多段階のマルウェア感染プロセスが用いられ、被害者のデバイスに侵入します。このマルウェアは、Windows、Linux、macOSシステムに影響を与えます。.
研究者はEtherHidingの欠点を詳しく説明する
EtherHidingは攻撃者に有利な点をもたらし、GTIGは、その軽減が特に困難な脅威であると指摘しています。EtherHidingの懸念すべき核心的な要素の一つは、その分散性です。これは、パーミッションレスで分散化されたブロックチェーン上に保存されるため、中央サーバーがないため、法執行機関やサイバーセキュリティ企業による削除が困難であることを意味します。ブロックチェーンは仮名性を持つため、攻撃者の身元を追跡することもdenttrac。
ブロックチェーン上にデプロイされたスマートtrac内の悪意のあるコードを削除することは、そのtracの所有者でなければ困難です。スマートtracを制御する攻撃者(今回の場合は北朝鮮のハッカー)は、悪意のあるペイロードをいつでも更新することができます。セキュリティ研究者は悪意のあるtracにタグを付けることでコミュニティに警告しようと試みるかもしれませんが、それだけではハッカーがスマートtracを利用して悪意のある活動を行うことを阻止することはできません。.
さらに、攻撃者は読み取り専用の呼び出しを使用して悪意のあるペイロードを取得できるため、ブロックチェーン上に目に見える取引履歴が残らないため、研究者がブロックチェーン上での活動を tracことが困難になります。脅威調査レポートによると、EtherHidingは「次世代の防弾ホスティングへの移行」を象徴しており、詐欺師がブロックチェーン技術の最も顕著な機能を悪用しています。.
