TokyoBlackHatNews

gbhackers.com 5分で読了

InvisibleFerretマルウェアは.pydおよび.soファイルを使用してスクリプト検出を回避

北朝鮮に関連する脅威グループ「Void Dokkaebi」(別名「Famous Chollima」)は、Pythonベースの「InvisibleFerret」マルウェアをコンパイルされたバイナリモジュールに変換することで、マルウェア配信技術を大幅にアップグレードしました。

InvisibleFerretは以前、読み取り可能なPythonスクリプトとして展開されていたため、ディフェンダーは静的分析およびシグネチャベースのツールを通じて検出しやすくなっていました。

最新のキャンペーンは、PythonコードをCまたはC++に変換してネイティブバイナリを生成するコンパイラである「Cython」を活用しています。これらのバイナリはより検査が困難で、プレーンテキストスクリプトのスキャンに依存する多くの防御を回避します。

この変換にもかかわらず、マルウェアはその基本機能を保持しています。InvisibleFerretは引き続き、攻撃者にバックドアアクセス、ブラウザ認証情報の盗難、クリップボード監視、キーロギング、および暗号資産ウォレットのターゲット化を提供します。

このキャンペーンは、ウォレット認証情報、署名キー、CI/CDパイプラインなどの機密資産にアクセスできる開発者がいるソフトウェア開発者および組織に対して特に危険です。

感染チェーンは、調整された、クロスプラットフォームなアプローチを反映しています。Void Dokkaebiは通常、偽の採用面接の誘いを通じて開発者をターゲットにし、被害者に悪意のあるリポジトリのクローンと実行を促します。

Image

実行されると、「BeaverTail」として知られるJavaScriptベースのローダーが攻撃を開始します。BeaverTailはダウンローダーおよび情報窃盗ツールとしての元の役割を超えて進化し、InvisibleFerretと同様の重複する機能を持つマルチステージマルウェアとして機能するようになりました。

GBhackersと共有されたレポートでTrend Microが述べたところによると、このグループは現在WindowsではマルウェアをPydファイルとして、macOSではソファイルとして配布しており、従来のスクリプトベースの検出メカニズムをバイパスするように設計されたシフトをマークしています。

BeaverTailはCythonでコンパイルされたペイロードをダウンロードし、通常は.mod拡張子のPython実行スクリプトを作成して実行します。.pydおよび.soファイルはスタンドアロン実行可能ファイルではなくPython拡張モジュールであるため、実行するにはPythonインタープリターが必要です。

InvisibleFerretマルウェアが.pydを使用

このレイヤード実行アプローチは、セキュリティツールがバイナリモジュールとランタイムスクリプトの両方を分析する必要があるため、検出を複雑にします。

更新されたBeaverTailのバリアントは、シャッフルされたBase64配列、XOR暗号化、およびコマンドアンドコントロール(C2)インフラストラクチャのスプリットアンドスワップエンコーディングを含む複数の難読化技術を採用しています。

Image

これらの技術により、IPアドレスやドメインなどのインジケーターの抽出が困難になります。場合によっては、C2の詳細はバイナリに完全には埋め込まれていませんが、実行スクリプトからのコマンドライン引数を通じて動的に渡され、分析がさらに複雑になります。

InvisibleFerret自体も高度な難読化を組み込んでいます。コンパイルされているにもかかわらず、元のPythonロジックの残骸は圧縮形式でバイナリ内に埋め込まれたままです。

アナリストは、Zlib圧縮データセグメントを抽出・解凍することでこれらのペイロードを復元でき、マルウェアが以前のバージョンと同様の階層化されたBase64デコーディングおよびXORルーチンに依存していることを明らかにします。

Image

マルウェアのモジュール設計には、バックドアアクセス、ブラウザデータ盗難、およびトロイの木馬化された暗号資産ウォレット拡張機能用のコンポーネントが含まれています。

特に注目すべきことに、新しいバリアントはターゲット化をMetaMaskを超えて拡張し、Coinbase WalletおよびPhantomを含むようにしています。macOSシステムでは、マルウェアはChromeをダウングレードして最新の拡張機能セキュリティ制限をバイパスし、悪意のある拡張機能が機能するようにしている可能性があります。

セキュリティ研究者は、Cythonベースのバイナリへのシフトがすべてのフォレンジック痕跡を排除しないことに注目しています。モジュール初期化関数、埋め込まれたファイルパス、ソースファイルへの参照などのアーティファクトは、バイナリ内に表示されたままです。ただし、従来のスクリプトベースの調査と比較して、これらはより高度な分析が必要です。

この進化は、多くのセキュリティ防御における重大なギャップを強調しています。スクリプト検出のみに依存する組織はこれらの脅威を特定できない可能性があります。専門家は、コンパイルされた拡張モジュール、ランタイム実行スクリプト、およびブラウザ拡張機能の操作を考慮したバイナリ対応検出戦略への移行を推奨しています。

Void Dokkaebiがツーリングを改良し続ける中、ディフェンダーは開発者環境の監視、信頼できないコードの実行制限、および攻撃チェーン内のバイナリとスクリプトの両方の分析を優先する必要があります。このキャンペーンは、ソフトウェアサプライチェーンおよび暗号資産エコシステムをターゲットとする脅威アクターの増加する洗練さを強調しています。

翻訳元: https://gbhackers.com/invisibleferret-malware-uses-pyd/

ソース: gbhackers.com
#Void Dokkaebi #ウォレット攻撃 #サプライチェーン攻撃 #バックドア #マルウェア #北朝鮮 #暗号資産 #脅威インテリジェンス #開発者攻撃 #難読化技術

関連記事

APT グループが複数の RDP セッションを有効にするために termsrv.dll にパッチを適用

WhatsAppのチャット履歴がmacOSおよびiOSの暗号化されていないストレージに露出

Telegramチャネルがインフルエンサーで確認済みの銀行ミュールアカウントの販売を助長