PylangGhostとして知られる新しいPythonベースのリモートアクセス型トロイの木馬(RAT)が、北朝鮮に関連するグループ Famous Chollimaに帰属するサイバーキャンペーンで展開されています。
Cisco Talosの調査によると、このマルウェアは以前に文書化されたGolangGhostと機能的に類似しており、暗号通貨やブロックチェーン技術に経験のある個人を標的にしています。
偽の求人サイトがPylangGhostを配信
最近のキャンペーンでは、攻撃者は偽の面接を利用して被害者をだまし、悪意のあるコードを実行させています。これらのキャンペーンは特にWindowsユーザーを新しいPythonバリアントで狙っており、GolangベースのRATは引き続きMacOSシステムに対して使用されています。
Linuxユーザーは現在の活動の波から除外されています。
攻撃は、しばしばCoinbaseやUniswapのような有名な暗号会社になりすました詐欺的な求人広告から始まります。
求職者はReactフレームワークで構築されたスキルテスト用のウェブサイトに誘導され、個人データの入力と一連の質問の完了を求められます。
完了後、ユーザーはカメラアクセスを許可してビデオを録画するよう促され、その後、コマンドライン入力を通じて偽のビデオドライバをインストールするよう指示されます。
ソーシャルエンジニアリング戦術についてもっと読む: 92%の組織がソーシャルエンジニアリング攻撃による資格情報の漏洩を受けた
悪意のあるコマンドは、PythonモジュールとVisual Basicスクリプトを含むZIPアーカイブのダウンロードを引き起こします。このスクリプトはアーカイブを解凍し、nvidia.pyという偽装されたPythonインタープリタを使用してトロイの木馬を起動します。
PylangGhostの機能とアーキテクチャ
PylangGhostは、すべてPythonで開発された6つの主要モジュールで構成されています:
-
nvidia.pyはRATを初期化し、持続性を確保し、コマンド・アンド・コントロール(C2)サーバーとの通信を確立します
-
config.pyは設定と受け入れられるコマンドを定義します
-
command.pyはファイル転送、OSシェルアクセス、データ抽出などのC2コマンドを処理します
-
auto.pyは80以上のブラウザ拡張から資格情報とクッキーを盗むことに特化しています
-
api.pyはRC4暗号化を使用してコマンド・アンド・コントロール(C2)サーバーとの暗号化通信を管理します
-
util.pyはファイル圧縮タスクを担当します
このマルウェアは、攻撃者が感染したマシンをリモートで制御し、ファイルをアップロードまたはダウンロードし、Metamask、1Password、Phantomなどのサービスから資格情報を含む機密データを抽出することを可能にします。
Golangバージョンとの密接な類似性
PythonバージョンとGolangバージョンのモジュール構造と命名規則の比較は、驚くほどの類似性を示しています。
これは、両方のバリアントの開発者が共有されているか、または密接に協力していることを示唆しています。Pythonバージョンはバージョン1.0、Golangバージョンは2.0とされていますが、研究者はこれらのバージョン番号だけで推測することに注意を促しています。
Cisco Talosは、Ciscoユーザーが影響を受けた証拠を見つけていません。これまでに知られている被害者のほとんどはインドに所在し、オープンソースインテリジェンスに基づくと全体的な影響は限定的です。
翻訳元: https://www.infosecurity-magazine.com/news/north-korean-hackers-python-trojan/