🛡 概要
北朝鮮のハッカーが新たにEtherHidingという手法を採用し、ブロックチェーン上でマルウェアを隠していることが明らかになりました。この手法は、スマートコントラクトを利用してマルウェアを配布するもので、特に暗号通貨を盗むための社会工学的攻撃に使用されています。Googleの脅威インテリジェンスグループ(GTIG)によれば、DPRKの国家支援の攻撃者であるUNC5342は、2023年2月からこの手法を利用した攻撃を行っています。EtherHidingは、公開ブロックチェーン上のスマートコントラクトにペイロードを埋め込むことで、攻撃者が必要な時に悪意のあるスクリプトを取得することを可能にします。
🔍 技術詳細
EtherHidingはGuardio Labsによって2023年に初めて説明された手法で、特にBinance Smart ChainやEthereumなどのブロックチェーンを利用しています。この手法により、攻撃者は匿名性を保持し、取り締まり行動に対する耐性を持ち、非常に低コストでペイロードを更新することができます。ペイロードの取得は読み取り専用の呼び出しを通じて行われ、取引履歴が残らないため、プロセスは非常にステルス性があります。GTIGは、攻撃者がJADESNOWというダウンローダを利用して、Ethereumから第三段階のペイロードを取得することを確認しました。これにより、長期的なスパイ活動に使用されるInvisibleFerretマルウェアが実行される可能性があります。また、CVEやCVSSに関する情報は確認されていませんが、攻撃者が複数のブロックチェーンを利用している点は特筆すべきです。
⚠ 影響
EtherHidingを用いた攻撃は、特にソフトウェア開発者をターゲットにしており、偽の求人面接を通じて行われます。被害者は、面接の一環として提供されるコードを実行するように仕向けられ、その結果、JavaScriptダウンローダーが実行されます。このマルウェアは、メモリ内で実行され、コマンド&コントロール(C2)からの指令を待ち受け、任意のコマンドを実行したり、ZIP形式でファイルを外部サーバーやTelegramに送信したりします。特に、パスワードやクレジットカード情報、暗号通貨ウォレット(MetaMaskやPhantom)に関する情報を狙うため、被害が広範囲に及ぶ可能性があります。
🛠 対策
EtherHidingの脅威に対処するためには、リスクの高いファイルタイプ(.EXE、.MSI、.BAT、.DLLなど)に対するダウンロード制限を設けることが重要です。また、Chrome Enterpriseの管理者は、ブラウザの更新に完全に制御を持ち、厳格なウェブアクセスおよびスクリプト実行ポリシーを設定することが推奨されます。魅力的な求人オファーに対しては慎重になり、ダウンロードを求められた場合には、まず隔離された環境でファイルをテストすることが重要です。
