このキャンペーンはGoogleアカウントを乗っ取り、Androidの「Find Hub」機能を悪用して被害者のスマートフォンを遠隔でワイプし、信頼されたKakaoTalkの連絡先を通じてマルウェアを拡散しました。 北朝鮮に関連する脅威アクターが、Google自身のセキュリティエコシステムを武器化する新たな方法を見つけ、被害者のスマートフォンからスパイ活動のデータを遠隔で消去するために利用しています。 Genians Security Center（GSC）の調査によると、攻撃者はAndroid端末の追跡・管理サービス「Find Hub」を利用し、Androidスマートフォンやタブレットのデータを遠隔でワイプしました。 「Find Hubは本来Android端末を保護するためのものですが、国家支援の脅威アクターがGoogleアカウントを侵害して遠隔操作を取得し、このサービスを使って位置追跡やリモートワイプを実行したことが確認されたのはこれが初めてです」とGSCの研究者はブログ投稿で述べています。「この事例は、APTキャンペーン内でこの機能が悪用される現実的なリスクを示しています。」 GSCは、これらの活動をKimsukyまたはAPT37グループと関連するKONNI APTグループによるものと特定しています。 このキャンペーンは、人気の韓国メッセンジャーKaKaoTalkを使ったソーシャルエンジニアリングによってさらに強化され、被害者には心理的な「ストレス解消」プログラムを装った悪意のあるアプリが送られました。 紛失端末機能からワイプ爆弾へ GSCは、攻撃者が正規のGoogleアカウントを侵害し、Find Hubのリモート管理機能を最大限に活用していたことを発見しました。一度ログインすると、位置情報の追跡やワイプコマンドの実行が可能となり、Android端末の個人データを効果的に削除し、通常の警告チャンネルも無効化されました。 「注目すべき発見は、Find Hubの位置情報クエリで被害者が外出中であることを確認した直後、脅威アクターが被害者端末にリモートリセットコマンドを実行したことです」と研究者は付け加えました。「リモートリセットにより端末の通常動作が停止し、メッセンジャーアプリからの通知やメッセージアラートがブロックされ、アカウント所有者の認知経路が効果的に遮断されることで、検知や対応が遅れることになります。」 端末を遮断することで、攻撃者はさらなる拡散や制御のための静かな時間を作り出します。 ブログでは、初期アクセスは韓国国税庁（NTS）を装った標的型フィッシングメールによって得られたと説明しています。被害者は添付ファイル付きのメールを受け取り、実行すると悪意のあるスクリプト（Autoltベース）をインストールしたり、Google認証情報を盗むRATを仕込まれたりしました。 「侵害されたGoogleアカウントを通じたリモートワイプ機能の不正利用を防ぐため、サービスプロバイダーは正規の端末所有者であることを確認する追加認証プロセスなど、リアルタイムのセキュリティ検証措置を見直し、実装すべきです」と研究者は推奨しています。 脅威は端末ワイプにとどまらず、攻撃者は信頼された連絡先のKakaoTalkアカウントを侵害してマルウェアを配布しています。 GSCは、「ストレス解消プログラム」を装った悪意のあるファイルがメッセンジャーを通じて親しい連絡先に送信されていたことを発見しました。「被害者の中には、北朝鮮脱北青少年の心理的困難に対応し、キャリアガイダンスや教育相談、メンタリングなどのサービスを提供して定着支援を行う専門の心理カウンセラーも含まれていました」と研究者は付け加えています。 一方の攻撃経路は端末の無力化によるアラートの無効化、もう一方は侵害されたチャットアカウントを通じたマルウェア配布でした。GSCは、この組み合わせは既知の国家支援APTアクターの中でも前例がなく、攻撃者の「戦術的成熟度と高度な回避戦略」を示していると述べています。 ブログでは、メッセンジャープラットフォーム経由で受信したファイルを開いたり実行したりする前に検証を強化し、ユーザーが悪意のあるファイルのダウンロードや実行を回避できるよう明確な警告を表示することが、この攻撃経路への対策となりうると指摘しています。Geniansの調査結果は、最近のClayRatやBadbox 2.0キャンペーンと同様、攻撃者が複雑なゼロデイ脆弱性に頼るのではなく、信頼されたアプリや組み込みサービスを悪用する傾向が強まっていることを浮き彫りにしています。 翻訳元:

新たな商用グレードのスパイウェアが中東のSamsung Galaxyスマートフォンを標的にしている模様ですが、誰が背後にいるのかは明らかではないと、研究者らが金曜日のブログ投稿で述べました。 誰が関与しているにせよ、彼らはこれまで知られていなかった未修正の脆弱性、いわゆるゼロデイを利用しましたが、Samsungはすでにこの欠陥を修正したとPalo Alto NetworksのUnit 42の研究者は述べています。 同社はこのスパイウェアを「Landfall」と名付けました。研究によると、イラン、イラク、モロッコ、トルコで標的となった可能性があるとブログ投稿で述べています。このキャンペーンは少なくとも2024年半ばから続いており、スパイウェアが隠れ続ける能力を示しています。 Landfallは悪意のあるDNG画像ファイルに埋め込まれており、これらはWhatsApp経由で送信されたとみられていますが、そのメッセージングプラットフォーム自体に新たな脆弱性があるという証拠はありません。WhatsAppは、主要なスパイウェアベンダーであるNSOグループとの画期的な法廷闘争の中で、別の側面からスパイウェアと戦っています。 このスパイウェアは被害者の操作を必要としない「ゼロクリック」と呼ばれるタイプのエクスプロイトのようです。一度スマートフォンに感染すると、Landfallは業界ベンダーが販売するスパイウェアに見られるような広範な監視機能を持ち、マイク録音の有効化や写真・連絡先の収集が可能です。 「Samsung Galaxyデバイスへの注目は、攻撃者がSamsung固有の画像処理ゼロデイ脆弱性を悪用したことに起因しており、その環境向けにツールが作られたと考えています」と、Unit 42の上級主席研究員Itay Cohen氏はCyberScoopへのメールコメントで述べています。「とはいえ、私たちが見ているのは活動の一部に過ぎないと思います。これは孤立したものではなく、LANDFALLを配信するこのキャンペーンは、別のゼロデイを通じてiPhoneデバイスも攻撃した、より広範なDNGエクスプロイトの波の一部であるようです。また、他のモバイルベンダーも同様または類似のインプラントを配信するために未発見の脆弱性を使って標的にされた可能性もあります。」 このスパイウェアは特にS22、S23、S24およびFold/FlipのSamsungデバイスを標的にしています。 関与している可能性のある手がかりはいくつかありますが、いずれも決定的なものではないとPalo Alto Networksは述べています。 Landfallのコマンド＆コントロールインフラやドメイン登録パターンは、アラブ首長国連邦政府との関係が疑われているStealth Falconというグループと類似点があります。 「2025年10月時点で、インフラを除き、LANDFALLのモバイルキャンペーンとStealth Falconによるエンドポイントベースの活動との間に直接的な重複や強い関連性は観測されていません」とPalo Alto Networksは記しています。「しかし、これらの類似点は議論に値します。」 Samsungはコメントの要請にすぐには応じませんでした。 翻訳元:

こんにちは、774です🌿 最近、こんな悩みはありませんか？ 「血圧が気になるけど、毎日測るのが面倒…」「サプリを飲み忘れてしまう」「ウォーキングを続けたいけど…

こんにちは、774です🌿 最近、こんな悩みはありませんか？ 「血圧が気になるけど、毎日測るのが面倒…」「サプリを飲み忘れてしまう」「ウォーキングを続けたいけど…

こんにちは、774です🌿 最近、こんな悩みはありませんか？ 「血圧が気になるけど、毎日測るのが面倒…」「サプリを飲み忘れてしまう」「ウォーキングを続けたいけど…

目に装着可能なAIスマートコンタクトレンズが開発中で、リアルタイム健康データや情報表示が可能です。

レノボ・ジャパンは2025年10月21日、個人向けスマートグラス「Lenovo Legion Glasses(Gen2)」を発表した。発売日は2025年10月24日で、直販価格は55,000円である。

レノボが個人向けスマートグラス「Lenovo Legion Glasses（Gen2）」を2025年10月24日に発売。65gの軽量設計で126型相当の大画面を体験できるマイクロOLEDディスプレイを搭載。800nitの高輝度、120Hzリフレッシュレート対応で直販価格は55,000円。

金銭目的の脅威アクターUNC5142がブロックチェーンのスマートコントラクトを悪用し、情報窃取マルウェアを配信。2025年6月時点で約14,000のWordPressサイトが影響を受けた。EtherHidingと呼ばれる新手法で、検出・削除が困難な攻撃インフラを構築している。

Googleの脅威分析チームによると、北朝鮮のハッカーが暗号資産や機密情報を盗む目的で、スマートコントラクト内に悪意のあるコードを埋め込む手法を採用していることが明らかになった。この手法は「EtherHiding」と呼ばれており、2023年に登場した。Googleによれば、EtherHidingは一般的にソーシャルエンジニアリングと組み合わせて使われる。（Cointelegraph）

「EtherHiding」：国家やサイバー犯罪グループが、ブロックチェーン上に隠された悪意あるペイロードを配信するためのコマンド＆コントロールサーバーとしてスマートコントラクトを活用している。 国家レベルの脅威アクターやサイバー犯罪者は、「EtherHiding」と呼ばれる手法を使い、暗号通貨のブロックチェーンを悪意あるペイロードのホスティングに悪用するケースが増えており、これにより攻撃の検知や遮断が困難になっています。 「Google Threat Intelligence Group（GTIG）は、北朝鮮（DPRK）の脅威アクターUNC5342が『EtherHiding』を用いてマルウェアを配信し、暗号通貨の窃盗を行っていることを観測しました。GTIGが国家レベルのアクターによるこの手法の採用を確認したのはこれが初めてです」とGoogleの研究者は新しいレポートで述べています。 国家レベルの脅威アクターによるEtherHidingの使用が報告されたのはこれが初めてですが、Googleは過去1年間にサイバー犯罪グループUNC5142がこの手法を使用・改良し、WordPressサイトを侵害して訪問者にインフォスティーラーを配布していることを観測していました。 この手法は、スマートコントラクトを活用します。スマートコントラクトはブロックチェーン上に保存されるプログラムのようなもので、トリガーされるとコードを実行します。攻撃者はこれらをコマンド＆コントロール（C2）サーバーとして利用し、特定の条件が満たされた際に悪意あるペイロードを返すようにしています。 耐障害性と分散型のC2インフラ このようにスマートコントラクトを悪用する明確な利点のひとつは、スマートコントラクトが不変であることです。マルウェアをレンタルサーバーや侵害サーバー上にホスティングする場合と比べて、スマートコントラクトはセキュリティ企業や法執行機関によって削除されるのが非常に困難です。なぜなら、暗号通貨のブロックチェーンは設計上、非常に分散化されているからです。 さらに攻撃者は、複数のスマートコントラクトを連鎖させて参照し合うようにしたり、ペイロードを暗号化してスキャンツールで容易に検出できないようにしています。 「本質的に、EtherHidingは次世代のバレットプルーフホスティングへのシフトを示しており、ブロックチェーン技術の本来の特徴が悪用目的で再利用されています」とGoogleの研究者は述べています。「この手法は、攻撃者が新しい技術を適応・活用し続ける中で、サイバー脅威が絶えず進化していることを浮き彫りにしています。」 北朝鮮の偽採用キャンペーンでの使用 他国の国家アクターと異なり、北朝鮮のAPTグループはサイバー諜報活動だけでなくサイバー犯罪活動も行うことで知られており、その目的には体制のための資金調達も含まれています。 その一つの方法が、企業や個人から暗号通貨を盗むことです。2017年から2023年の間に、北朝鮮は暗号通貨の窃盗で17億ドルを得たと推定されています。 これはUNC5342の任務でもあり、LinkedInや求人サイトで偽の求人応募を使ってソフトウェア開発者を誘い込むソーシャルエンジニアリングキャンペーンの背後にもUNC5342がいます。 偽のリクルーターは、候補者とのやり取りをDiscordやTelegramに移し、GitHubから危険なコードリポジトリをダウンロードさせる技術テストを受けるよう依頼します。別のパターンでは、候補者がビデオ面接に招待され、その後ClickFix型のエラーメッセージが表示され、問題を解決するためのソフトウェアのダウンロードを求められます。 第一段階のマルウェアは通常、不正なnpmリポジトリにホストされた悪意あるJavaScriptコードです。その目的は、暗号通貨ウォレットやブラウザ拡張データ、ローカルに保存された認証情報を盗む第二段階のトロイの木馬をダウンロード・展開することです。GTIGはこの第一段階マルウェアをJADESNOWダウンローダーと呼んでいます。 「JADESNOWはEtherHidingを利用して、BNBスマートチェーンやEthereum上のスマートコントラクトから悪意あるペイロードを取得・復号・実行します」と研究者は述べています。「スマートコントラクトに保存された入力データはBase64でエンコードされ、XOR暗号化されている場合があります。JADESNOW感染チェーンの最終ペイロードは、通常、INVISIBLEFERRET.JAVASCRIPTのようなより永続的なバックドアです。」 さらに、INVISIBLEFERRETバックドアのコードは複数のスマートコントラクトに分割されている場合があり、実行時に異なるブロックチェーンアドレスに保存された追加のペイロード（たとえばPythonベースの情報窃取ツール）をダウンロードすることもあります。 UNC5342が使用する悪意あるJavaScriptダウンローダーは、複数のブロックチェーンエクスプローラーAPIサービス（多くは無料APIキー）を通じてEthereumやBNBチェーンにクエリを送ります。これらのサービスの中には削除要請に応じるものもありますが、応じないものもあります。しかし、サードパーティAPIサービスを使うことだけがスマートコントラクトを読み取ったりトリガーしたりする方法ではなく、これは別の脅威アクターUNC5142によっても実証されています。 ClickFixキャンペーン UNC5142サイバー犯罪グループは、2023年以降、侵害されたウェブサイトの訪問者に偽のGoogle Chromeアップデートポップアップを表示し、インフォスティーラープログラムを配布していることで知られています。これらの偽ブラウザアップデートポップアップは、ProofPointの研究者が以前CLEARFAKEと名付けた悪意あるJavaScriptフレームワークによって生成されていました。 Googleの研究者は、このフレームワークの進化形をCLEARSHORTと呼び、BNBスマートチェーン上にデプロイされたスマートコントラクトから追加の悪意あるペイロードをダウンロードすることを確認しています。 「CLEARSHORTのランディングページはClickFixを活用しています。ClickFixは、被害者を誘導してWindowsの実行ダイアログボックスでローカルに悪意あるコマンドを実行させる人気のソーシャルエンジニアリング手法です」と研究者は述べています。 UNC5142は主にWordPressサイトを標的としています。Googleは、UNC5142による侵害の兆候が見られるウェブページを14,000ページ以上追跡しており、同グループは既存のWordPressプラグイン、テーマ、データベースに悪意あるコードを注入しています。 悪意あるCLEARSHORTコードは、Web3.jsというライブラリを活用しています。これは、HTTP、IPC、WebSocketなどのさまざまなウェブベースのプロトコルを通じてEthereumノードとやり取りできるライブラリです。このライブラリは、パブリックノードを通じてBNBスマートチェーンに接続するために使用されます。 UNC5142によるスマートコントラクトの利用は、ペイロードを単一のコントラクトに保存する方式から、現在では攻撃コンポーネントを3つの別々のコントラクトに分割する方式へと進化しており、攻撃の各部分を個別にアップグレードできるようになっています。 「この新しいアーキテクチャは、プロキシパターンとして知られる正当なソフトウェア設計原則の適用であり、開発者がコントラクトをアップグレード可能にするために使います」と研究者は述べています。「安定して変更不可能なプロキシが、別の第二層コントラクトに呼び出しを転送し、そのコントラクトはバグ修正や機能追加のために置き換えることができます。」 翻訳元:

（画像クレジット：Shutterstock） UNC5342はEtherHidingを通じてブロックチェーンのスマートコントラクトを利用し、暗号資産窃盗用マルウェアを配布 偽の求人やコーディングチャレンジで開発者を誘い、JadeSnowローダーとバックドアを起動させる ブロックチェーンの不変性がマルウェアのホスティングを強固にする 北朝鮮の国家支援型脅威アクターが、パブリックブロックチェーンを利用して悪意のあるコードをホストし、標的のエンドポイントにマルウェアを展開していることが明らかになりました。 これはGoogleの脅威インテリジェンスグループ（GTIG）によるもので、彼らはUNC5342がEthereumやBNBを利用してドロッパーをホストし、最終的にソフトウェアやブロックチェーン開発者に対して暗号資産窃盗用マルウェアを展開しているのを観測したと述べています。 この手法はEtherHidingと呼ばれています。被害者に悪意のあるファイルを直接送信したり、ダウンロードさせたりする代わりに、マルウェアの一部をブロックチェーンのトランザクションやスマートコントラクトにエンコードします。 バレットプルーフホスティングの進化 スマートコントラクト自体は自動的にマルウェアを誰かのコンピュータ上で実行するわけではありませんが、ユーザーがそれとやり取りしたとき（リンクをクリックしたり、スクリプトを実行したり、暗号ウォレットを接続したときなど）に、指示やコードを配信することができます。 ブロックチェーンは公開されていて、不変で、改ざんがほぼ不可能なため、マルウェアの保存や配布に最適な場所です。 「これは次世代のバレットプルーフホスティングへのシフトを示しています」とGoogleは述べており、ブロックチェーンの堅牢な性質がサイバー犯罪者にとって魅力的であると強調しています。 2月以降、UNC5342は偽の求人やコーディングチャレンジを作成し、Web3分野で働く開発者やその他の人々を騙してさまざまなファイルをダウンロードさせていました。これらのファイルはブロックチェーンに接続し、コードを取得してJadeSnowローダーをインストールします。このローダーはInvisibleFerretバックドアを展開し、これはすでに暗号資産窃盗に使われていることが確認されています。 ブロックチェーンがマルウェア配布に使われるのはこれが初めてではありません。この手法は2023年から使われており、同じレポートでGoogleは金銭目的のアクターUNC5142も同じ手法を使っていると述べています。 このグループはWordPressサイトを侵害し、悪意のあるJavaScriptコードをホストしてブロックチェーンに接続させていました。これまでに14,000以上の感染サイトが発見されています。 北朝鮮は暗号資産業界を標的にし、盗んだ資金を兵器開発や国家機関の資金調達に利用していることで知られています。 出典：The Record GoogleニュースでTechRadarをフォローし、 お気に入りの情報源に追加して、私たちの専門ニュース、レビュー、意見をフィードで受け取りましょう。フォローボタンをクリックするのをお忘れなく！ もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、開封動画などを動画形式でチェックし、WhatsAppでも定期的に最新情報を受け取れます。 翻訳元:

北朝鮮の脅威アクターが「EtherHiding」として知られるブロックチェーンベースの手法を用いて、暗号資産の窃盗を容易にするマルウェアを配信していることが判明しました。 EtherHidingは、攻撃者がJavaScriptペイロードなどの悪意のあるコードをブロックチェーンベースのスマートコントラクト内に埋め込み、分散型台帳を堅牢なコマンド＆コントロール（C2）サーバーとして利用する手法です。 Google Threat Intelligence Group（GTIG）は、国家主体のアクターがこの手法を採用したのを初めて観測したと、10月16日に公開したブログで述べています。 GTIGは、EtherHidingの利用は従来のテイクダウンやブロックリストによる対策に強い耐性があると説明しています。 脅威インテリジェンスグループは、UNC5342という脅威アクターが2026年2月からEtherHidingを継続的なソーシャルエンジニアリングキャンペーンに組み込んでいることを追跡しています。 ハッカーにとってのEtherHidingの利点、防御側の不利点 GTIGによると、EtherHidingは攻撃者にとっていくつかの重要な利点を提供し、特に対策が困難な脅威となっています。 EtherHidingの特に懸念される要素の一つは、その分散型の性質です。悪意のあるコードは分散型かつ許可不要なブロックチェーン上に保存されているため、法執行機関やサイバーセキュリティ企業が中央サーバーを停止させることができません。 また、ブロックチェーン取引の偽名性のため、攻撃者の身元を追跡することも困難です。 さらに、ブロックチェーン上にデプロイされたスマートコントラクト内の悪意のあるコードは、コントラクトの所有者でない限り削除するのが難しいです。スマートコントラクトを制御する攻撃者は、いつでも悪意のあるペイロードを更新できます。 セキュリティ研究者が公式のブロックチェーンスキャナーでコントラクトに悪意があるとタグ付けしてコミュニティに警告しようとしても（図5のBscScanの警告のように）、悪意のある活動は依然として実行可能です。 最後に、攻撃者はブロックチェーン上に可視的な取引履歴を残さないリードオンリーコールを使って悪意のあるペイロードを取得できるため、活動の追跡がより困難になります。 脅威調査レポートは、EtherHidingが「次世代の防弾ホスティングへのシフト」を示しており、ブロックチェーン技術の本来の特性が悪用されていると述べています。 EtherHidingは北朝鮮の巧妙な詐欺キャンペーンの一部 Googleは、EtherHidingの利用をPalo Alto Networksが「Contagious Interview」として追跡しているソーシャルエンジニアリングキャンペーンと関連付けています。 このキャンペーンでは、脅威アクターがJADESNOWマルウェアを使い、INVISIBLEFERRETのJavaScriptバリアントを展開し、数多くの暗号資産強奪を引き起こしています。 このキャンペーンは、暗号資産やテクノロジー分野の開発者を標的とし、機密データや暗号資産の窃取、企業ネットワークへの持続的なアクセス獲得を狙っています。 偽のリクルーターや架空の企業を使い、正規の採用プロセスを装った巧妙なソーシャルエンジニアリング戦術が中心となっています。 偽のリクルーターが候補者をTelegramやDiscordなどのプラットフォームに誘導し、偽のコーディングテストや技術評価、面接修正を装った偽ソフトウェアのダウンロードを通じてマルウェアを配布します。 このキャンペーンは、JADESNOW、BEAVERTAIL、INVISIBLEFERRETを含む多段階のマルウェア感染プロセスを用いて被害者のシステムを侵害し、Windows、macOS、Linuxシステムに影響を及ぼすことが多いです。 翻訳元:

Google reports North Korean hackers using EtherHiding to embed adaptive malware in blockchain smart contracts.

UNC5142というコードネームの金銭目的の脅威アクターが、Atomic（AMOS）、Lumma、Rhadamanthys（別名RADTHIEF）、Vidarなどの情報窃取型マルウェアの配布手段として、ブロックチェーンのスマートコントラクトを悪用していることが確認されています。これらはWindowsおよびApple macOSシステムの両方を標的としています。 「UNC5142は、侵害されたWordPressサイトと『EtherHiding』の使用が特徴です。EtherHidingとは、悪意のあるコードやデータをBNBスマートチェーンなどのパブリックブロックチェーン上に配置して隠蔽する手法です」とGoogle脅威インテリジェンスグループ（GTIG）はレポートでThe Hacker Newsに伝えています。 2025年6月時点で、GoogleはUNC5142に関連する動作を示すJavaScriptが注入された約14,000のウェブページを検出したと述べており、脆弱なWordPressサイトが無差別に標的にされていることを示しています。しかし、同社は2025年7月23日以降、UNC5142の活動を確認しておらず、活動の一時停止または作戦転換の可能性を指摘しています。 EtherHidingは、2023年10月にGuardio Labsによって初めて報告されました。このときは、感染したサイトが偽のブラウザアップデート警告を表示し、Binanceのスマートチェーン（BSC）コントラクトを利用して悪意のあるコードを配信する攻撃が詳細に説明されました。 攻撃チェーンの根幹をなす重要な要素は、CLEARSHORTと呼ばれる多段階のJavaScriptダウンローダーであり、侵害されたサイトを通じてマルウェアを配布可能にします。第一段階は、ウェブサイトに挿入されるJavaScriptマルウェアで、BNBスマートチェーン（BSC）ブロックチェーン上に保存された悪意のあるスマートコントラクトとやり取りして第二段階を取得します。第一段階のマルウェアは、プラグイン関連ファイルやテーマファイル、場合によってはWordPressデータベースに直接追加されます。 スマートコントラクトは、外部サーバーからCLEARSHORTのランディングページを取得する役割を担っており、そのページではClickFixというソーシャルエンジニアリング手法が用いられ、被害者をWindowsの「ファイル名を指定して実行」ダイアログ（またはMacのターミナルアプリ）で悪意のあるコマンドを実行させ、最終的にシステムを窃取型マルウェアに感染させます。ランディングページは通常Cloudflareの.devページ上にホストされており、2024年12月以降は暗号化された形式で取得されます。 Windowsシステムでは、悪意のあるコマンドはMediaFireのURLからダウンロードしたHTMLアプリケーション（HTA）ファイルの実行を伴い、その後PowerShellスクリプトを展開して防御を回避し、GitHubやMediaFire、または攻撃者自身のインフラから暗号化された最終ペイロードを取得し、アーティファクトをディスクに書き込まずにメモリ上で直接スティーラーを実行します。 2025年2月および4月にmacOSを標的とした攻撃では、攻撃者はClickFixのデコイを利用してユーザーにターミナルでbashコマンドを実行させ、シェルスクリプトを取得させていました。このスクリプトはcurlコマンドを使ってリモートサーバーからAtomic Stealerのペイロードを取得します。 CLEARSHORTはClearFakeの亜種とみられており、ClearFakeは2025年3月にフランスのサイバーセキュリティ企業Sekoiaによって詳細に分析されました。ClearFakeは、侵害されたウェブサイト上に展開される不正なJavaScriptフレームワークで、ドライブバイダウンロード手法を用いてマルウェアを配布します。2023年7月から活動が確認されており、2024年5月ごろからClickFixが採用されています。 ブロックチェーンの悪用にはいくつかの利点があり、この巧妙な手法は正規のWeb3活動に紛れ込むだけでなく、UNC5142の活動を検出やテイクダウンから守る耐性も高めています。 Googleによれば、この脅威アクターのキャンペーンは過去1年で大きく進化しており、2024年11月からは単一コントラクトシステムから、より高度な3つのスマートコントラクトシステムへと移行し、運用の機動性を高めているとのことです。今年1月にもさらなる改良が確認されています。 「この新しいアーキテクチャは、プロキシパターンと呼ばれる正規のソフトウェア設計原則を応用したもので、開発者がコントラクトをアップグレード可能にするために利用します」と説明しています。 「この構成は非常に効率的なルーター・ロジック・ストレージアーキテクチャとして機能し、それぞれのコントラクトが特定の役割を担います。この設計により、侵害されたウェブサイト上のJavaScriptを修正することなく、ランディングページのURLや復号鍵など攻撃の重要部分を迅速に更新できます。その結果、キャンペーンは非常に機動的でテイクダウンにも強くなっています。」 UNC5142は、スマートコントラクトのデータが可変である（プログラムコード自体は一度デプロイされると不変であることに注意）という性質を利用し、ペイロードURLを変更しています。これらの更新にはネットワーク手数料として0.25ドルから1.50ドル程度がかかります。 さらなる分析により、脅威アクターがCLEARSHORTダウンローダーを介してスティーラーマルウェアを配信するために、2つの異なるスマートコントラクトインフラを使用していることが判明しました。メインインフラは2024年11月24日に作成され、並行するセカンダリインフラは2025年2月18日に資金提供されています。 「メインインフラはコアキャンペーンインフラとして際立っており、早期から作成され、安定した更新が続いています」とGTIGは述べています。「セカンダリインフラは並行して展開されたより戦術的なもので、特定のキャンペーン活動の急増を支援したり、新しい誘導手法をテストしたり、単に運用の耐性を高めるために設置された可能性があります。」 「感染チェーンの頻繁な更新、安定した運用テンポ、過去1年半にわたる侵害サイトの多さと配布されるマルウェアペイロードの多様性を考えると、UNC5142は一定の成功を収めている可能性が高いと考えられます。」 翻訳元:

朝鮮民主主義人民共和国（通称：北朝鮮）と関係のある脅威アクターが、EtherHiding技術を利用してマルウェアを配布し、暗号資産の窃盗を可能にしていることが確認されました。これは、国家支援のハッキンググループがこの手法を採用した初めての事例となります。 この活動は、Google Threat Intelligence Group（GTIG）によってUNC5342という脅威クラスターに分類されており、他にもCL-STA-0240（Palo Alto Networks Unit 42）、DeceptiveDevelopment（ESET）、DEV#POPPER（Securonix）、Famous Chollima（CrowdStrike）、Gwisin Gang（DTEX）、Tenacious Pungsan（Datadog）、Void Dokkaebi（Trend Micro）などの名称で知られています。 この攻撃の波は、Contagious Interviewというコードネームの長期的なキャンペーンの一部であり、攻撃者はLinkedIn上でリクルーターや採用担当者を装ってターゲットに接触し、会話をTelegramやDiscordに移した後、就職テストを装って悪意のあるコードを実行させる手口です。 これらの活動の最終的な目的は、開発者のマシンへの不正アクセス、機密データの窃取、暗号資産の搾取であり、北朝鮮が追求するサイバースパイ活動と金銭的利益の両面に一致しています。 Googleによると、UNC5342は2025年2月以降、EtherHidingを取り入れており、これはBNB Smart Chain（BSC）やEthereumなどのパブリックブロックチェーン上のスマートコントラクトに悪意のあるコードを埋め込むステルス手法です。この手法により、ブロックチェーンが分散型のデッドドロップリゾルバとなり、削除対策に強くなります。 耐障害性に加え、EtherHidingはブロックチェーン取引の偽名性を悪用することで、スマートコントラクトを展開した人物の追跡を困難にしています。さらにこの手法は柔軟性もあり、攻撃者がスマートコントラクトを管理していれば、いつでも悪意のあるペイロードを更新できる（平均で1.37ドルのガス代がかかるものの）ため、幅広い脅威の可能性が広がります。 「この進展は、国家レベルの脅威アクターが法執行機関によるテイクダウンに耐性があり、かつ新たなキャンペーン向けに容易に改変可能なマルウェア配布のための新技術を利用し始めたことで、脅威状況がエスカレートしていることを示しています」と、Mandiant（Google Cloud）のコンサルティングリーダーであるロバート・ウォレス氏はThe Hacker Newsに寄せた声明で述べています。 ソーシャルエンジニアリング攻撃の後に発動する感染チェーンは多段階プロセスとなっており、Windows、macOS、Linuxの各システムを3種類のマルウェアファミリーで標的にすることができます。 最初のダウンローダーはnpmパッケージの形で現れます BeaverTailはJavaScript製の情報窃取マルウェアで、暗号資産ウォレットやブラウザ拡張データ、認証情報などの機密情報を外部に送信します JADESNOWはJavaScript製ダウンローダーで、EtherHidingを使ってInvisibleFerretを取得します InvisibleFerretはPython製バックドアで、価値の高いターゲットに対して展開され、侵害されたホストのリモート制御や、MetaMaskやPhantomウォレット、1Passwordなどのパスワードマネージャーからの認証情報などを狙った長期的なデータ窃取を可能にします 「EtherHidingは、ブロックチェーン技術の本質的な特徴を悪用し、悪意ある目的で再利用する次世代のバレットプルーフホスティングへの転換を示しています」とGoogleは述べています。「この手法は、攻撃者が新技術を取り入れ自らの利益のために活用する中で、サイバー脅威が絶えず進化し続けていることを浮き彫りにしています。」 翻訳元:

北朝鮮のハッカーは、スマートコントラクトを利用してマルウェアをホスティングおよび配信する「EtherHiding」手法を採用し、暗号資産を盗むソーシャルエンジニアリングキャンペーンを展開しています。 Google Threat Intelligence Group（GTIG）によると、DPRK（朝鮮民主主義人民共和国）の国家支援型脅威アクターであり、社内でUNC5342として追跡されているグループが、2月からContagious Interview作戦でEtherHidingを使用しているとのことです。 研究者らは、国家支援のハッカーグループがこの手法を使用するのを初めて確認したと述べています。 Guardio Labsが2023年に初めて説明したEtherHidingは、ペイロードをパブリックブロックチェーン（Binance Smart ChainまたはEthereum）のスマートコントラクト内に埋め込むマルウェア配信手法です。脅威アクターはこれにより悪意のあるスクリプトをホスティングし、必要に応じて取得できます。 ブロックチェーンの仕組みにより、EtherHidingは匿名性、テイクダウンへの耐性、柔軟なペイロード更新を非常に低コストで実現します。さらに、ペイロードの取得は読み取り専用コールで行われ、取引履歴が残らないため、プロセスにステルス性が加わります。 ブロックチェーン上のDPRK作戦 攻撃は通常、偽の就職面接から始まります。これはDPRKの典型的なソーシャルエンジニアリング手法であり、巧妙に作られた企業（BlockNovas LLC、Angeloper Agency、SoftGlide LLC）からソフトウェアやウェブ開発者を標的にしています。 被害者は、面接の技術評価の一環として、JavaScriptダウンローダーを実行するコードを動かすように騙されます。 研究者によれば、「スマートコントラクトはJADESNOWダウンローダーをホストしており、Ethereumと連携して第3段階のペイロードを取得します」。これは通常、長期的なスパイ活動に使われるInvisibleFerretマルウェアのJavaScript版です。 GTIGは、ペイロードはメモリ上で実行され、さらに認証情報を盗む別のコンポーネントをEthereumに要求する場合があると指摘しています。 研究者によると、ハッカーはJADESNOWを使ってEthereumまたはBNB Smart Chainのいずれかからペイロードを取得できるため、解析がより困難になります。 「複数のブロックチェーンをEtherHiding活動に利用する脅威アクターは珍しく、これは北朝鮮のサイバーオペレーターのチーム間で作戦が分業されている可能性を示しています」とGTIGは述べています。 感染チェーン出典：Google 「取引の詳細を見ると、契約は最初の4か月間で20回以上更新されており、各更新には平均1.37米ドルのガス代がかかっています」とGTIGは説明しています。 「この低コストと更新頻度は、攻撃者がキャンペーンの設定を容易に変更できることを示しています」と研究者らは述べています。 マルウェアはバックグラウンドで動作し、コマンド＆コントロール（C2）からの任意コマンドの実行や、ファイルをZIP形式で外部サーバーやTelegramに流出させるなどの命令を待ち受けます。 認証情報窃取コンポーネントは、パスワード、クレジットカード、暗号資産ウォレット（MetaMaskやPhantom）情報をChromeやEdgeなどのウェブブラウザに保存されたものを狙います。 北朝鮮の脅威アクターによるEtherHidingの採用は、キャンペーンの追跡や妨害を困難にする顕著な進展です。 魅力的な求人オファーを受けた場合、何かをダウンロードするよう求められた際には慎重になり、まず隔離された環境でファイルをテストするべきです。 GTIGは、管理者に対し、Chrome Enterpriseでリスクの高いファイルタイプ（.EXE、.MSI、.BAT、.DLL）のダウンロード制限を設け、ブラウザ更新を完全に管理し、厳格なウェブアクセスおよびスクリプト実行ポリシーを設定することを推奨しています。 今年のセキュリティ検証イベント：Picus BASサミット 侵害・攻撃シミュレーションサミットに参加し、セキュリティ検証の未来を体験しましょう。トップエキスパートの講演を聞き、AI搭載BASが侵害・攻撃シミュレーションをどのように変革しているかをご覧ください。 あなたのセキュリティ戦略の未来を形作るこのイベントをお見逃しなく。 翻訳元: