新たに観測されたBeaverTailマルウェアの変種が、北朝鮮に関連するハッカーと関連付けられています。
これらの知見はDarktrace最新の『サイバーセキュリティの現状』レポートからのものであり、BeaverTailの活動をLazarus Groupの一部と評価されているDPRK脅威クラスタに関連付けています。標的には暗号資産トレーダー、開発者、小売従業員が含まれており、金銭的利益とスパイ活動にまたがる動機と一致しています。
JavaScriptベースのマルウェアは情報スティーラーとローダーの両方として機能し、リモートサーバーから追加のペイロードを取得しようとする前にシステム詳細を収集します。Darktrace氏によると、その継続的な進化は、サプライチェーン侵害がファイナンスセクターにとって継続的な懸念であることを示しています。
新しい点は、最近のサンプルで見られるオブフスケーションのレベルと配信の多様性です。2025年11月に分析されたBeaverTailファイルは、難読化されたJavaScriptパッケージとして識別され、その動作を隠すために層状のBase64およびXORエンコーディングを使用していました。
実行されると、ホスト名、ユーザー名、プラットフォームデータを収集し、後続マルウェアを取得するためにコマンド・アンド・コントロール(C2)サーバーへの接続を試みました。これはBeaverTailがInvisibleFerretバックドアの展開で歴史的に果たしてきた役割です。
配信経路の拡大
-
数千回ダウンロードされるのに十分な期間公開されたままであったトロイの木馬化されたnpmパッケージ
-
技術的評価またはビデオ会議ツールを装った偽の求人面接プラットフォーム
-
ユーザーにオペレーティングシステムコマンドを実行するよう促すClickFixルアー。これは静かにマルウェアをダウンロードします。
このような技術は、開発者、トレーダー、アナリストがオープンソースツールとコラボレーションプラットフォームに頻繁に依存する金融機関に特に関連しています。
技術的能力と属性
Darktrace氏は、2022年以来、マルウェアはWindows、macOS、Linuxシステムで実行可能なモジュラー、クロスプラットフォームフレームワークに発展したと説明しました。コンパイルされた実行可能ファイルとして配信でき、動的ヘッダーとデコイペイロードを通じて検出を回避でき、広範な監視を可能にします。
観測された機能には、暗号資産ウォレットデータと認証情報を盗むことを目的としたキーロギング、スクリーンショットキャプチャ、クリップボード監視が含まれます。
ブロックチェーンベースのC2インフラストラクチャの詳細をお読みください:北朝鮮のハッカーがEtherHidingを使用して暗号資産を盗む
2025年、研究者らはBeaverTailがOtterCookieとして知られる別のDPRK関連株と統合されているのも観測しました。結合されたツールセットは、ブラウザプロファイル列挙、強化されたウォレットターゲティング、AnyDeskなどの正当なツールを通じたリモートアクセスを追加します。
「Darktrace氏の極度に難読化されたBeaverTail変種の識別は、tradecraftの大幅なエスカレーションを示しており、軽量スティーラーを128層以上の隠蔽に保護された署名回避フレームワークに変換しています。」とSectigoのシニアフェローであるJason Sorokoはコメントしました。
「この技術的成熟は、BeaverTailとOtterCookie株の戦略的収束で完結し、Windows、macOS、Linuxの環境全体での継続的な金銭的盗難と監視のために設計された統一されたクロスプラットフォーム機器をもたらします。」
翻訳元: https://www.infosecurity-magazine.com/news/beavertail-variant-linked-lazarus/
