- Lazarus Groupは、開発者を標的としたContagious InterviewキャンペーンでマルウェアをホストするためにJSONストレージサービスを利用
- 攻撃者は偽のLinkedIn求人を使って被害者を誘い、BeaverTail、InvisibleFerret、TsunamiKitマルウェアを配布
- マルウェアはデータを流出させ、暗号資産を盗み、Moneroをマイニング—通常の開発フローに紛れ込む
悪名高いLazarus Groupの一員である北朝鮮の国家支援型脅威アクターが、JSONストレージサービス上でマルウェアや他の悪意あるコードをホストしていることが確認されました。
サイバーセキュリティ研究者のNVISIOは、攻撃者がJSON Keeper、JSONsilo、npoint.ioを利用して、攻撃を目立たず持続的に行おうとしているのを確認したと報告しています。
これらの攻撃はContagious Interviewキャンペーンの一部とみられています。このキャンペーンでは、攻撃者がまず偽のLinkedInプロフィールを作成し、ソフトウェア開発者に魅力的な求人を持ちかけたり、コーディングプロジェクトの支援を依頼したりして接触します。やりとりの中で、被害者にGitHub、GitLab、Bitbucketからデモプロジェクトをダウンロードするよう促します。
情報窃取型マルウェアとバックドアの展開
NVISIOによると、あるプロジェクト内でBase64エンコードされた値を発見しましたが、それはAPIキーのように見えて実際はJSONストレージサービスへのURLでした。そこにはBeaverTailという情報窃取型マルウェアと、InvisibleFerretというPython製バックドアおよびTsunamiKitを展開するローダーが含まれていました。
TsunamiKitはPythonと.NETで書かれた多段階型マルウェアツールキットで、情報窃取型マルウェアや、XMRigを感染端末にインストールしてMonero通貨をマイニングさせるクリプトジャッカーとして機能します。一部の研究者は、BeaverTrailがTropidoorやAkdoorTeaを展開しているのも確認したと述べています。
「Contagious Interviewの背後にいる攻撃者は遅れを取っておらず、興味を持った(ソフトウェア)開発者を幅広く標的にして機密データや暗号資産ウォレット情報を流出させている」と研究者らは警告しています。
「JSON Keeper、JSON Silo、npoint.ioのような正規ウェブサイトや、GitLabやGitHubのようなコードリポジトリの利用は、攻撃者の動機と、通常のトラフィックに紛れてステルスに活動し続けようとする持続的な試みを示しています。」
