北朝鮮の脅威アクターとEtherHiding
北朝鮮の脅威アクターは、XRPを含む暗号通貨を盗むために設計されたマルウェアを配信するために、EtherHidingと呼ばれるブロックチェーンベースの手法を採用しました。Googleの脅威インテリジェンスグループによると、これは国家主体のアクターがこの方法を使用するのを初めて観察した事例です。
EtherHidingの技術と影響
この手法は、悪意のあるJavaScriptペイロードをブロックチェーンのスマートコントラクトに埋め込むことで、耐障害性のあるコマンド&コントロールサーバーを作成します。EtherHiding技術は、「Contagious Interview」として追跡されるソーシャルエンジニアリングキャンペーンを通じて、暗号通貨および技術分野の開発者を標的にしています。このキャンペーンは、XRP(XRP)保有者や他のデジタル資産のユーザーに影響を与える多数の暗号通貨の強盗を引き起こしました。
悪意のあるコードの保存と更新
EtherHidingは、悪意のあるコードを分散型かつ許可不要のブロックチェーンに保存し、法執行機関やサイバーセキュリティ企業が取り締まることができる中央サーバーを排除します。スマートコントラクトを制御する攻撃者は、いつでも悪意のあるペイロードを更新し、侵害されたシステムへの持続的なアクセスを維持できます。
セキュリティ研究者の警告と実態
セキュリティ研究者は、BscScanなどのブロックチェーンスキャナーで契約を悪意のあるものとしてタグ付けできますが、悪意のある活動はこれらの警告にもかかわらず続きます。Googleの報告書は、EtherHidingを「次世代の弾丸耐性ホスティングへの移行」として説明しており、ブロックチェーン技術の特徴が悪意のある目的を可能にしています。
Contagious Interviewキャンペーンの手法
ユーザーが侵害されたサイトと対話すると、コードがアクティブになり、XRPや他の暗号通貨、敏感なデータを盗みます。侵害されたウェブサイトは、台帳取引を作成しない読み取り専用機能を使用してブロックチェーンネットワークと通信します。これにより、検出と取引手数料が最小限に抑えられます。
Contagious Interviewキャンペーンは、偽のリクルーターや作り上げられた企業を通じて正当な採用プロセスを模倣するソーシャルエンジニアリング戦術に焦点を当てています。偽のリクルーターは、候補者をTelegramやDiscordなどのプラットフォームに誘導し、次に技術的評価を装った欺瞞的なコーディングテストや偽のソフトウェアダウンロードを通じてマルウェアを配信します。
マルウェアの影響と感染経路
このキャンペーンは、Windows、macOS、Linuxシステムに影響を与えるJADESNOW、BEAVERTAIL、INVISIBLEFERRETのバリアントを含む多段階のマルウェア感染を採用しています。被害者は、正当な就職面接に参加していると信じながら、企業ネットワークへの持続的なアクセスを得て暗号通貨の保有を盗むために設計されたマルウェアを知らずにダウンロードしています。
