一種新近被發現的勒索軟體變種,正將區塊鏈技術武器化,用來建立具高韌性的指揮與控制(C2)基礎設施,讓安全團隊難以予以拆除。
Group-IB 資安研究人員於週四披露,DeadLock 勒索軟體(首次在 2025 年 7 月被識別),會將代理伺服器位址儲存在 Polygon 智能合約之中。disclosed
這種技術讓攻擊者得以持續輪替受害者與攻擊者之間的連線節點,使傳統的封鎖手段失效。
儘管 DeadLock 的技術相當成熟,它卻維持著異常低調的行事風格——沒有加盟計畫,也沒有公開的資料外洩網站。
DeadLock 有何不同
與典型會公開羞辱受害者的勒索軟體集團不同,DeadLock 則威脅要將竊取的資料在地下市場出售。
該惡意程式會將 JavaScript 程式碼嵌入 HTML 檔案中,並與 Polygon 網路上的智能合約進行通訊。
這些合約扮演代理伺服器位址的去中心化儲存庫角色,惡意程式透過唯讀的區塊鏈呼叫來取得位址,而這類呼叫不會產生任何交易手續費。
研究人員至少辨識出三種 DeadLock 變種,較新的版本還整合了 Session 加密通訊工具,以便與受害者直接溝通。
延伸閱讀: CME Group Adds Cardano, Chainlink And Stellar Futures To Crypto Derivatives Suite
為何基於區塊鏈的攻擊值得關注
這種作法與「EtherHiding」技術相似;該技術由 Google 威脅情報團隊在 2025 年 10 月記錄,當時觀察到北韓國家級行動者使用類似手法。
Group-IB 分析師 Xabier Eizaguirre 指出:「利用智能合約來投遞代理位址,是一種有趣的方法,攻擊者幾乎可以無限變化這種技術的實作方式。」
將基礎設施儲存在區塊鏈上相當難以根除,因為去中心化帳本不像傳統伺服器那樣可以被查扣或強制下線。
DeadLock 感染後會將檔案重新命名為「.dlock」副檔名,並部署 PowerShell 指令碼來停用 Windows 服務與刪除陰影複本。
先前的攻擊據報是利用百度殺毒軟體中的漏洞,並採用「自帶易受攻擊驅動程式」(BYOVD)技術,來終止端點偵測程序。
Group-IB 承認,對於 DeadLock 的初始入侵手法與完整攻擊鏈仍有理解上的缺口,不過研究人員已確認該組織近期以新的代理基礎設施重新啟動行動。
這項技術同時被國家級行動者與以財務為動機的網路犯罪者採用,顯示對手在利用區塊鏈韌性從事惡意用途方面,正出現令人憂心的演進。
延伸閱讀: Solana ETF Inflows Hit $23.6M Four-Week Peak As Network Metrics Show Decline