TokyoBlackHatNews

csoonline.com 4分で読了

北朝鮮の「就職テスト」トラップがJSONマルウェアドロップボックスに進化

長期にわたるContagious Interviewキャンペーンが、BeaverTailおよびInvisibleFerretペイロードをJSONストレージサービス内に隠すようになった。

北朝鮮と関連するContagious Interviewキャンペーンは、トロイの木馬化されたコーディング課題で開発者を誘い、JSON Keeper、JSONSilo、npoint.ioのようなパブリックなJSONストレージサービスから難読化されたペイロードを取得している。

NVISO Labsによるこのキャンペーンの分析では、脅威アクターが偽のリクルーターからのメッセージやデモプロジェクトを送り、そこにJSONストレージURLを指す設定値が含まれていることが示されている。これらのJSONブロブには高度に難読化されたJavaScriptがホストされており、Node.jsのテスト実行でデコード・実行されるとBeaverTailインフォスティーラーが展開され、次にInvisibleFerretモジュラーRATがステージングされる。

「JSON Keeper上にホストされているJavaScriptコードは、パッキング、配列や文字列の難読化、連結などの一般的な技術を用いて高度に難読化されています」とNVISOの研究者はブログ投稿で述べている。

Contagious Interviewは、長期間にわたるキャンペーンであり、Windows、Linux、macOSのソフトウェア開発者、特に暗号資産やWeb3分野の開発者を標的にしている。ClickFixや偽リクルーターなどのソーシャルエンジニアリング手法を使い、最終的にBeaverTailやOtterCookieインフォスティーラー、モジュラーRATをドロップするトロイの木馬化された面接用コードを配布している。

新たなステージング手法としてのJSONストレージサービス

NVISOは複数のデモリポジトリ(GitLab/Github上にホスト)を発見・公開しており、そこでは「server/config/.config.env」ファイルにAPIキーのように見える値が含まれているが、実際はJSON Keeper(や類似サービス)のURLにデコードされる。これらのサービスから取得されるJavaScriptはパックされ、文字列難読化されている。

難読化を解除するとBeaverTailが現れ、システム情報、ブラウザウォレット/拡張機能(MetaMask、Phantom、TrontLink)、ドキュメントなどを収集し、次のステージとしてInvisibleFerretを取得する。アクターは検知回避のため、PastebinやXOR/base64レイヤーもコード内に埋め込んでいる。

最終ペイロード(BeaverTail)は、以前から確認されている機能、つまり「Axiomsを埋め込みHTTPクライアントとして使用、システム情報の列挙と流出、ブラウザプロファイルや拡張機能ディレクトリからの機密データの検索、Word文書・PDFファイル・スクリーンショット・秘密ファイル・環境変数を含むファイル・ログインユーザーのキーチェーンなどの機密ファイルの検索および流出」などを備えていた。

開発者は依然として高価値な標的

研究者らは指摘しているように、このキャンペーンは特に暗号資産やWeb3プロジェクトに関わる開発者を標的とし、現実的な人物像やデモアプリケーション(不動産、DeFi、ゲームフォークなど)を使って疑念を払拭している。国家と関連するアクターが直接的なペイロードホスティングから正規のJSONストレージサービスの悪用へと手法をシフトしたことは、開発者向けの無害なプラットフォームでさえ武器化されつつあることを示しており、検知回避や技術ワークフローへの信頼の悪用を狙っている。

この攻撃は正規プラットフォーム(GitLab/GitHub、JSON Keeper/npoint)と難読化ペイロードを組み合わせているため、防御側はコードの出所をセキュリティ衛生の一部として扱う必要がある。完全に隔離されたサンドボックスでコードを実行し、実行前に設定ファイル内の外部URLやキーを監査し、NVISOがリストアップした既知のJSONストレージエンドポイントやIOCへの異常な外部通信をブロックすることが有効だと研究者らは付け加えている。

「未知のリポジトリや『リクルーター』から提供されたコードを、最初の面接の一環として決して実行しないでください。特に最近連絡を取ったばかりの場合はなおさらです」と研究者らは警告している。「必要であれば、設定ファイルに悪意ある活動の兆候がないか確認してください」。NVISOは、マルウェアをJSONサービスにアップロードするために使われたメールアドレスのリスト、悪意あるコードをホストするリポジトリ、このキャンペーンに関連するGitHubアカウント、JSONストレージURL、BeaverTail/InvisibleFerretのC2サーバーを開発者向けにフラグ付けしている。さらに、JSONストレージサービスの運営者にもこの悪用が通知されており、すべての悪意あるコンテンツの削除作業が進められているという。

翻訳元: https://www.csoonline.com/article/4090979/north-koreas-job-test-trap-upgrades-to-json-malware-dropboxes.html

ソース: csoonline.com
#BeaverTail #Contagious Interview #InvisibleFerret #JSONストレージサービス悪用 #JSONマルウェア #Web3セキュリティ #ソーシャルエンジニアリング #北朝鮮サイバー攻撃 #情報窃取型マルウェア #開発者標的攻撃

関連記事

GitHubが3,800個の内部リポジトリの侵害後、大規模なソースコード漏洩を認める

SHub Reaper、1つのMacOS攻撃チェーンでApple、Google、Microsoftになりすまし

なぜセキュリティ修正がご自身の脆弱性ダッシュボードに届かないのか