SOC Prime Bias:

19 Jan 2026 15:45 UTC

DeadLock:ランサムウェアギャングがスマートコントラクトを利用して活動を隠蔽

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
DeadLock:ランサムウェアギャングがスマートコントラクトを利用して活動を隠蔽
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

DeadLockランサムウェアは、コマンド&コントロール(C2)用のプロキシURLを公開し回転させるための耐久性のある方法としてPolygonスマートコントラクトを採用し、従来のドメインに依存せずにバックエンドインフラストラクチャを迅速に変更できるようにしています。暗号化の後、攻撃者は被害者をさらなる指示とやり取りのために非中央集権型メッセンジャーであるSessionに誘導するHTML「支払い/コミュニケーション」ラッパーをドロップします。この手法は、以前に北朝鮮に関連する活動で報告されたEtherHidingパターンに似ており、悪意のあるインフラストラクチャの間接層としてブロックチェーンデータを使用します。特に、DeadLockは従来の一般公開されたリークサイトを優先せず、代わりに地下市場での販売を通じて盗まれたデータを収益化しているようです。

調査

Group-IBのアナリストは、C2エンドポイントを隠すためのDeadLockのスマートコントラクトを使用した手法を記録しました。これには、暗号化後にSessionを通信チャネルとして明示的に参照するHTMLファイルのドロップが含まれています。このレポートは、BYOVD(自身持参の脆弱ドライバー)技術とEDRプロセスの終了と関連付けられたDeadLockの活動を報告した先のCisco Talosの報告も引用していますが、正確な初期アクセスベクトルは決定的に特定されませんでした。同様の「スマートコントラクトをC2ディレクトリとして」使う戦術については、北朝鮮のキャンペーンの文脈でGoogle Threat Intelligence Groupによっても議論され、公のブロックチェーンをインフラストラクチャの機動性のために利用する全体的なトレンドを強調しました。

緩和策

不審なファイル活動後にSession(または他の非中央集権メッセンジャー)を起動または参照する予期しないHTMLアーティファクトをエンドポイントで監視してください。リモートアクセス、ペイロードのステージング、またはメッセンジャーのインストールを促進できる未承認ツールの実行を制限し、強力なアプリケーションの許可リストを強制します。ネットワーク側では、ブロックチェーンに保存されたポインタから派生しているように見えるプロキシURLやドメインへの接続を監査し、アウトバウンド先の急激な変化を高いシグナルの異常として扱います。エンドポイントの検出を継続的に更新し、BYOVDドライバーのロード、不審なドライバーのインストール、EDRの改ざんや強制的なセキュリティサービスの終了と一致する動作を識別します。

対応

DeadLockの指標が特定された場合は、さらなる暗号化と横方向の移動を防ぐために、影響を受けたシステムを即座に隔離します。ドロップされたHTMLラッパー、暗号化ノート、および関連するバイナリまたはスクリプトを収集し保存した後、観察されたプロキシURLおよびスマートコントラクト参照インフラストラクチャへのアウトバウンドトラフィックをブロックします。公式のインシデント対応手順を開始し、修復前にオフライン/バックアップされたリカバリパスの整合性と可用性を確認し、脅迫リスクを判断するために潜在的なデータ露出を評価します。適切な場合は、利害関係者とのコミュニケーションを調整し、専門のランサムウェア対応サポートを招いて、完全なスコーピングと根絶を遂行します。

Attack Flow

Simulation Execution

Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.

Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic. Abstract or unrelated examples will lead to misdiagnosis.

  • Attack Narrative & Commands:

    The threat actor, having compromised a smart‑contract‑controlled proxy service, rotates the proxy URL every few minutes to evade static blocklists. Each rotation publishes a new sub‑domain under deadlock.example.com. The ransomware queries the proxy to retrieve the next C2 address. To emulate this, we issue a series of HTTP requests to three distinct URLs that all contain the literal string “.example.com”, mimicking the rotation pattern observed in the wild.

  • Regression Test Script:

    #!/usr/bin/env bash
    # DeadLock Proxy URL Rotation Simulation – generates telemetry that matches the Sigma rule
    
    PROXY="http://proxy.example.local:3128"
    URLs=(
      "http://stage1.example.com/deadlock"
      "http://stage2.example.com/deadlock"
      "http://stage3.example.com/deadlock"
    )
    
    echo "[*] Starting proxy‑URL rotation simulation (3 requests)..."
    for url in "${URLs[@]}"; do
      echo "[+] Requesting $url via $PROXY"
      curl -s -x "$PROXY" "$url" -o /dev/null
      sleep 2   # short pause to emulate realistic interval
    done
    
    echo "[*] Simulation complete."
  • Cleanup Commands:

    #!/usr/bin/env bash
    # Remove any temporary files created during the simulation (none in this case)
    echo "[*] No artifacts to clean up. Leaving proxy configuration untouched."