DEV#POPPERは以前から観測されている脅威キャンペーンです。
以前から込み入った情報搾取を実施する内容となっていましたが、それがさらに拡張されて展開されていることが確認されています。
- 複数のOSサポート
現在のDEV#POPPERは、Windows、Linux、macOSをサポートしています。
大抵のクライアントとして利用されるシステムをサポートしているといえます。 - アップロード機能の拡張
指定したPATHのファイルをすべてuploadする、などだけでなく、ファイルサイズや拡張子などの特定の条件にマッチするファイルをuploadする、とか、ファイル名で条件を絞り込んでマッチしたファイルをuploadするなどの機能も搭載されています。 - 進む難読化
従来の脅威活動においても難読されてたスクリプトが使用されていましたが、より一層込み入った難読化が実施されている状態になっています。
時間をかければ解析できるわけですが、解析をより一層困難なものとしています。
また、この難読化により、セキュリティソリューションによる検出の率を低く抑えることに成功しています。 - C2接続の難読化
マルウェア機構の難読化だけでなく、C2との通信の内容についても難読化されています。
これも脅威活動を検出することを困難にしています。
その足回りとしてAnyDeskが悪用されています。 - coockie取得機能
Chromeをはじめとした各種ブラウザに対応したcookie取得機能を搭載しています。
browser_cookie3のクローンです。
いろいろなリポジトリに各種言語に書き直されたものが存在しています。
このキャンペーンではPythonで書かれたbrowser_cookie3が使用されています。 - ブラウザ情報取得機能
cookie以外にもブラウザには情報が保持されています。
保存されたパスワードやクレジットカード情報を盗むスクリプトが使用されます。
この攻撃キャンペーンでは、コンピュータシステムの脆弱性は悪用されません。
その代わりにソーシャルエンジニアリングのテクニックを駆使し、人間にマルウェアを実行させます。
信頼、恐怖、または単に役に立ちたいという欲求などの基本的な人間の特性を食い物にします。
人間の脆弱性を突いた攻撃といったところでしょうか。
Research Update: Threat Actors Behind the DEV#POPPER Campaign Have Retooled and are Continuing to Target Software Developers via Social Engineering
https://www.securonix.com/blog/research-update-threat-actors-behind-the-devpopper-campaign-have-retooled-and-are-continuing-to-target-software-developers-via-social-engineering/
この記事をシェア |
---|