北朝鮮に連携する脅威アクターが、ソフトウェア開発者に向けた巧妙な罠を仕掛けています。
Void Dokkaebi(Famous Chollimaとも呼ばれる)という名称で活動するこの侵入グループは、仮想通貨ウォレットや継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインを管理する専門家を標的にしています。
ハッカーたちは技術系リクルーターを装い、架空の就職面接中に悪意のあるコードを実行させることで被害者を誘い込み、壊滅的な感染チェーンを引き起こします。
このキャンペーンの核心にあるのはInvisibleFerretです。これはPythonベースのマルウェアファミリーで、強力な新たな隠蔽メカニズムを採用しています。
脅威アクターはCythonを使用してPythonコードをC/C++ソースコードに変換し、それをネイティブバイナリにコンパイルするようになりました。
可読性のあるPythonスクリプトを展開する代わりに、InvisibleFerretはWindowsでは.pyd拡張モジュール、macOSでは.so共有ライブラリとして届きます。
この変更により、悪意のあるPythonスクリプトの識別に依存する従来の検知ルールは事実上無効化されます。ただし、これらのバイナリは単独では実行できません。
バイナリをCPythonランタイムにロードするための軽量なPythonスクリプトが必要です。この動的実行スクリプトは、コマンドアンドコントロール(C&C)のIPアドレスとポート番号をコマンドライン引数として渡します。
スクリプトがハードコードされた値を上書きできるため、防御側はバイナリを解析するだけでは実際のC&C接続先を特定することができません。
こうした高度な回避戦術にもかかわらず、このマルウェアは重要なフォレンジックアーティファクトを残します。Cythonで生成されたバイナリを解析する防御側は、以下を抽出することが依然として可能です:
コアの難読化解除ロジックはInvisibleFerretの旧バージョンと共通しているため、セキュリティチームはBase64エンコードされた文字列やZlib圧縮データをリバースエンジニアリングして、基盤となるPythonペイロードを抽出することができます。
Trendmicroの調査によると、JavaScriptベースのマルウェアが高度に複雑な多段階の脅威へと進化しています。
当初は単純なダウンローダーおよび情報窃取ツールに過ぎなかったBeaverTailは、現在InvisibleFerretの多くの機能を備えるようになりました。活動を隠すために強力な難読化を展開しています。
BeaverTailは現在、標的型攻撃を実行するために特化したInvisibleFerretモジュールを投下します。最も警戒すべきモジュールがmcです。これは現代のブラウザセキュリティへの直接攻撃を実行します。
トロイの木馬化された拡張機能が正常に機能するよう、このモジュールはmacOS上のGoogle Chromeブラウザを積極的にダウングレードします。
ChromeをManifest V2フレームワークをサポートする旧バージョンに戻すことで、攻撃者は新しいセキュリティ制限を回避します。
このブラウザへの深いアクセスにより、MetaMask、Coinbase Wallet、Phantomなどの仮想通貨ウォレットを操作・流出させることが可能になります。
翻訳元: https://cyberpress.org/invisibleferret-steals-crypto-credentials/