Void DokkaebiまたはFamous Chollimaとして追跡されている北朝鮮系の脅威アクターは、ソフトウェア開発者を標的とする戦術を進化させています。
TrendAI™ Researchが発見したように、このグループは人工知能および暗号資産企業での偽の採用面接を利用して、開発者に悪意のあるコードリポジトリをダウンロードさせています。
これらのリポジトリは、InvisibleFerretおよびBeaverTailマルウェアファミリーを特徴とする高度な感染チェーンを配信します。検出を回避するため、攻撃者はPythonベースのInvisibleFerretペイロードをCythonを使用してネイティブバイナリにコンパイルするようになっています。
CythonはPythonコードをC/C++に変換し、ネイティブバイナリにコンパイルします。読み取り可能なPythonスクリプトを展開する代わりに、Void DokkaebiはInvisibleFerretをWindowsでは.pydファイルとして、macOSでは.so共有ライブラリとして配布するようになりました。
この重大な変化により、平文のPythonマルウェアを検出するために設計された既存のセキュリティルールはほとんど無効化されます。
Cython生成のバイナリは独立した実行ファイルではなく拡張モジュールであるため、単独では実行できません。
感染チェーンは、ペイロードをロードするために通常.modという名前のPython実行スクリプトに依存しています。このモジュール型のアプローチにより、マルウェアはコマンド&コントロール(C&C)インフラを隠蔽することができます。
ランタイムスクリプトはエンコードされたIPアドレスとポート番号をコマンドライン引数としてバイナリに渡すため、防御側が静的バイナリ解析だけで最終的なC&C先を特定することが困難になります。
InvisibleFerretと並行して、脅威アクターはJavaScriptベースの初期アクセスおよびデータ窃取モジュールであるBeaverTailを展開します。
BeaverTailはInvisibleFerretと同様の機能を備えた多段階の脅威へと成長しています。その主要な機能を隠すために、複数層の複雑な難読化に依存しています。
このキャンペーンの最終的な目標は、暗号資産ウォレットの認証情報、署名鍵、および継続的インテグレーションパイプラインへのアクセスを窃取することです。
更新されたマルウェアスイートには、ブラウザ拡張機能を乗っ取り、開発者の資産を流出させるために設計された専用モジュールが含まれています。
Trend Microの調査によると、Void Dokkaebiは現代のブラウザセキュリティ機能をバイパスするための巧妙な回避策を採用しています。
Googleは最近、Chrome拡張機能にManifest V3を適用しました。これにより、攻撃者が暗号ウォレットを改ざんするために必要な特定の機能が制限されています。
これを回避するために、特定のInvisibleFerretモジュールはmacOS上のChromeをManifest V2をまだサポートしている古いバージョンにダウングレードします。脅威アクターはManifest V2の限定的なサポートを継続しているBraveブラウザも標的にしています。
翻訳元: https://cyberpress.org/invisibleferret-uses-compiled-extensions/
