一個新近發現的勒索軟件家族,正武器化區塊鏈技術,搭建高度韌性的指揮與控制(C2)基礎設施,讓安全團隊難以徹底拆除。
Group-IB 網絡安全研究人員於週四披露指出,2025 年 7 月首次被發現的 DeadLock 勒索軟件,會將代理伺服器地址儲存在 Polygon 智能合約之中。
這種技術讓攻擊者可以不斷輪換受害者與攻擊者之間的連線節點,使傳統封鎖連線的方式失效。
儘管技術上相當成熟,DeadLock 一直刻意維持異常低調的行事風格——沒有聯盟(affiliate)計劃,也沒有公開的資料外洩網站。
DeadLock 有何不同
不同於一般會公開羞辱受害者的勒索軟件集團,DeadLock 則威脅要在地下市場出售竊取的資料。
該惡意程式會把 JavaScript 程式碼嵌入 HTML 檔案中,並與 Polygon 網絡上的智能合約溝通。
這些智能合約充當去中心化的代理伺服器地址資料庫,而惡意程式則透過僅供讀取的區塊鏈呼叫,取回這些地址,過程不會產生交易手續費。
研究人員已識別出至少三個 DeadLock 變種,較新的版本更加入使用 Session 加密通訊工具,以便與受害者直接聯絡。
延伸閱讀: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
為何基於區塊鏈的攻擊值得關注
這種手法與「EtherHiding」相似;該技術由 Google 威脅情報團隊在 2025 年 10 月記錄,當時發現北韓國家級行為者採用類似方法。
Group-IB 分析師 Xabier Eizaguirre 指出:「這種利用智能合約投遞代理地址的做法非常有趣,攻擊者幾乎可以無限變化此技術的用法。」
將基礎設施儲存在區塊鏈上十分難以清除,因為去中心化帳本不像傳統伺服器那樣,可以被查扣或直接下線。
DeadLock 感染後會把檔案重新命名,加上「.dlock」副檔名,並部署 PowerShell 指令碼來停用 Windows 服務及刪除陰影複製(shadow copies)。
較早期的攻擊據報是利用百度殺毒軟件的漏洞,並採用「自帶脆弱驅動程式」(BYOVD)技術,終止終端偵測流程。
Group-IB 承認,目前對 DeadLock 的初始入侵途徑及完整攻擊鏈仍存在認知缺口,不過研究人員已確認該團伙近期以新的代理基礎設施重新啟動行動。
這種技術同時被國家級行為者及以財務為目的的網絡罪犯採用,顯示對手正令人憂慮地進化,愈來愈善用區塊鏈的韌性來達成惡意目的。
延伸閱讀: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline