北朝鮮の国家支援を受けた脅威グループVoid Dokkaebiは、その主力バックドアInvisibleFerretの配信アーキテクチャを根本的に再構成し、防御的な回避機能を体系的に向上させました。攻撃者は、静的分析と文字列ベースのテレメトリシグネチャ検証の対象になりやすい、生のテキスト形式のPythonスクリプトの配信を放棄しました。代わりに、このセルはマルウェアロジックをコンパイル済みネイティブモジュールに移行させ、レガシー動作ヒューリスティクスと従来の検出パラダイムを時代遅れにするために明示的に設計された機動です。
Famous Chollima(よく知られたエイリアス)として活動するVoid Dokkaebiは、ソフトウェアエンジニアに対して持続的かつ捕食的な焦点を保っています。この脅威グループは、著名な暗号資産と人工知能の大企業を代表するコーポレートリクルーターに成りすまし、洗練されたソーシャルエンジニアリング手法を活用します。技術面接またはコード評価演習を装って、被害者は武器化されたリポジトリをダウンロードして実行するよう強制されます。この侵入ベクトルは、分散型金融インフラ、暗号署名キー、継続的インテグレーション/継続的デプロイメント(CI/CD)パイプライン、および内部企業ステージング環境への管理者アクセス権を持つ開発者にとって、深刻で全体的なリスクをもたらします。
技術的分析:Cython変換パイプライン
TrendAI Research部門が主導した法医学的調査により、中核的な回避メカニズムが明らかになりました:Cythonコンパイルフレームワークを利用したInvisibleFerretの意図的な難読化です。この特定のソフトウェア変換ユーティリティは、高水準のPythonソースコードをネイティブの中間C/C++構造に変換し、その後、出力をプラットフォーム固有のマシンコードバイナリにコンパイルします。
- Windows展開:武器化されたモジュールは
.pydファイル拡張子を持つコンパイル済みダイナミックリンクライブラリとして現れます。 - macOS展開:インプラントは
.soアーキテクチャを利用するShared Objectファイルにコンパイルされます。
これらのネイティブモジュールは構造的に自己初期化ができないため、脅威行為者は多段階の感染ルーチンを導入しました。周辺チェーンは、バイナリ拡張をメモリにロードし、難読化されたペイロードの実行をトリガーすることが唯一の目的である、最小限の一時的なPythonブートストラップスクリプトをデプロイします。
このアーキテクチャは、セキュリティエンジニアリングチームにとって深刻な診断ボトルネックをもたらします。クリアテキストのPython設定の評価に独占的に依存することは、防御的インテリジェンスの観点からはほとんど価値がありません。コマンド&コントロール(C2)ネットワークドメインと静的ソケットポートパラメータはコンパイル済みの.pydまたは.soファイルのバイナリ文字列マトリックスから時々抽出できますが、実行時テレメトリの重要なセグメントは一時的なステージングスクリプトによって環境に動的に注入されます。このエフェメラルローダーのキャプチャがなければ、敵対者のネットワークインフラの包括的な再構成は数学的にほぼ不可能なままです。
機能的収束:BeaverTailの進化とエコシステム破壊
同時に、このキャンペーンの二次的な要素であるBeaverTailは、重大なアーキテクチャ上の変換を経験しました。従来は基本的な認証情報の収集とその後のInvisibleFerretのステージングに限定されていましたが、BeaverTailはInvisibleFerret自体の高度なユーティリティスイートを反映する機能的冗長性を包含するように進化しました。現代的なバリアントは、ブラウザデータベース構造を抽出し、コールドおよびホットのデジタル通貨ウォレットから秘密鍵を流出させ、二次的なリモートバイナリペイロードを取り込み、詐欺的なブラウザ拡張機能を被害者のプロファイルディレクトリに注入するように最適化されたネイティブモジュールを備えています。
同時に、InvisibleFerretは致命的な高権限機能マトリックスを保持しています。インプラントは、無制限の対話的リモートアクセスを促進し、オペレーティングシステムクリップボードマトリックスを監視し、低レベルのキーロギングフックを実行し、暗号資産ウォレットメタデータについてローカルファイルシステムを積極的に掃引し続けています。macOSプラットフォームでは、特化したサブモジュールが、ChromeおよびBraveブラウザ環境内の公式拡張機能の秘密の置き換えを担当しており、具体的にはMetaMask、Coinbase Wallet、Phantomなどの著名な分散型ファイナンスアプリケーションを対象としています。
これらの偽造拡張機能の継続的な実行を確保するために、攻撃者はmacOSデバイス上のターゲットのローカルChromeインストールを体系的にダウングレードします。この戦略的な後退は、GoogleのManifest V3フレームワークへの強制的な移行を回避するための意図的な取り組みを表しており、Manifest V3はマルウェアが暗号資産トランザクションを操作するために一般的に悪用する攻撃的なシステム権限を制限するように設計されたエコシステム仕様です。ターミナルをManifest V2をサポートするレガシーブラウザビルドに戻すことで、脅威行為者はスクリプトインジェクションとデータ操作のための妨害されない運用キャンバスを確保することに成功しました。
成果物抽出と構造的改善
コンパイル済みバイナリへのこの洗練されたピボットにもかかわらず、InvisibleFerretアーキテクチャは識別可能な法医学的フットプリントによって制限されています。コンパイルプロセスは、意図せずに異なるビルドトレース、ローカライズされたモジュール識別子、プレーンテキストエラー文字列、および著者の開発環境から発生した絶対パスを埋め込みます。これらの構造的異常により、インシデント対応チームは内部コード分類法のセクションをリバースエンジニアリングし、新興バリアントを追跡し、敵対者のインフラストラクチャの全体的な境界をマッピングするために必要なテレメトリを取得できます。
さらに、脅威インテリジェンスは、Cythonプラットフォームへのこの移行が進行中の作業のままであることを示唆しています。最近回収されたコンポーネントの法医学分析により、コンパイルされていないコードの残骸と構文的に不完全なルーチンが露出し、モジュールはランタイムテスト中に実行例外で早期に終了します。この構造的矛盾は、Void DokkaebiがBeaverTailとInvisibleFerret展開トラック間の相互運用性を積極的に改善していることを確認します。
したがって、ブロックチェーンゲートウェイ、コード署名証明書、または自動ビルドパイプラインへのアクセス権を持つソフトウェア開発リソースを管理する組織は、ログ監視テレメトリを直ちに更新する必要があります。検出戦略は、生のPythonスクリプト監視を超えて、未認可のPython拡張ファイル(.pydと.so)の導入を精査するように拡張する必要があります。一時的な初期化スクリプトの分離、ブラウザ拡張機能ディレクトリを対象とした未認可の変更、およびエンタープライズエンドポイント全体でのブラウザアプリケーションバージョンの異常で非調整されたダウングレードに、強化された分析焦点が専念されるべきです。
翻訳元: https://meterpreter.org/void-dokkaebi-malware-evasion-invisibleferret-cython/
