勒索軟件DeadLock正利用Polygon智能合約輪換代理地址以藏匿行蹤

攻擊手法與技術細節

該勒索軟體於2025年7月首次被發現，其並未依賴硬編碼的命令與控制（C2）伺服器，而是透過查詢Polygon網絡上的智能合約來獲取代理伺服器地址，進而實現攻擊基礎設施的動態輪換。

運作機制

當受害者系統被感染且資料被加密後，DeadLock會發出勒索信，威脅若未滿足要求將出售被盜資料。其透過調用特定智能合約動態更新與受害者通信的命令與控制基礎設施地址，使攻擊鏈路更具隱蔽性。

技術優勢與風險

• 鏈上存儲代理地址：將代理地址儲存在鏈上，使得其基礎設施極難被破壞，因為不存在可關閉的中心伺服器，且區塊鏈數據在全球節點上永久留存。
• 高度變異性：這種濫用智能合約傳遞代理地址的方法具有極強的變異性，使防禦機制難以追蹤與應對。

現況與影響

儘管DeadLock目前曝光度較低，且已知受害者數量有限，但其新穎的攻擊手法仍對未予以重視的組織構成潛在威脅。

來源：https://www.panewslab.com/zh/articles/74f851c4-3fa4-40a2-927a-def233bdd515