北朝鮮関連の脅威アクター「WaterPlum」は、StoatWaffleと呼ばれる高度に回避的な新種マルウェアを導入しました。よく知られた「Contagious Interview」キャンペーンの下で活動する特定のサブグループTeam 8は、最近、攻撃戦術をシフトさせています。
トリガーされると、Vercelでホストされているウェブアプリケーションからのステルスダウンロードが開始されます。
この動作はクロスプラットフォームですが、Windowsでは、初期データはコマンドプロンプトから実行される単純なダウンローダーです。この初期スクリプトは、vscode-bootstrap.cmdという後続のバッチファイルを直ちにフェッチします。
ブートストラップスクリプトは、被害者のマシンを最終的なペイロードのために準備するための正確なシーケンスに従います:
env.nplスクリプトはStoatWaffleマルウェアのプライマリローダーとして機能します。アクティブになると、5秒ごとに特定のエラーメッセージエンドポイントに接続することで、コマンド&コントロールサーバーを継続的にポーリングします。
サーバーがエラーステータスを返す場合、スクリプトは取得されたメッセージを隠されたNode.jsコードとして実行します。約5分間の継続的なポーリングの後、2番目のダウンローダーが取得され、アクティブ化されます。
この2番目のスクリプトは別のエラーハンドリングエンドポイントに接続し、5秒のポーリングサイクルを維持して、さらなる指示をフェッチして実行します。
この急速な通信シーケンスは、StoatWaffleの2つの主要なコンポーネント、つまりStealerモジュール、およびリモートアクセストロイの木馬(RAT)を迅速に展開します。Stealerモジュールは、開発環境から機密情報を抽出することに特化しています。
ChromiumおよびFirefoxブラウザに保存された認証情報と拡張機能データをターゲットにし、特定のターゲットキーワードについてFirefox設定ファイルを積極的にスキャンします。
macOSシステムでは、Stealerはキーチェーンデータベース全体を収集することで範囲を拡大し、保存されたパスワードをキャプチャします。
最後に、展開されたRATモジュールは、侵害されたマシンへの永続的なバックドアを確保します。指定されたソケットエンドポイントから新しいタスクをリクエストするために、定期的にサーバーと通信します。
これらのコマンドを受け取り実行すると、技術的な実行結果を結果エンドポイントに送信し、WaterPlumが開発者のシステムへの継続的で確実なリモートコントロールを維持できるようにします。
翻訳元: https://cyberpress.org/waterplum-pushes-stoatwaffle-malware/