InvisibleFerretは、ソフトウェア開発者やフリーランサーを標的としたサイバー攻撃キャンペーンで使用される、インフォスティーラー型マルウェアの名称です。
主な特徴と手口は以下の通りです。
- 主な機能: 感染した端末から暗号資産のウォレット情報、ブラウザのCookieやパスワード、ソースコードなどの機密データを窃取する。
- 主な感染経路: 北朝鮮を拠点とする攻撃グループ(ラザルスグループなど)が主導する「Contagious Interview(感染面接)」と呼ばれる偽の採用キャンペーンで拡散される。
- 攻撃の手口: 求職者を装った攻撃者が、DiscordやTelegramなどのチャットツール経由で、マルウェアが仕込まれたテスト用リポジトリ(Git)やファイル(パッケージ)を開発者にダウンロードさせる。
- 関連マルウェア: 多くの場合、「BeaverTail(ビーバーテイル)」と呼ばれるダウンローダー(別の悪意あるプログラムを呼び出すマルウェア)とセットで配布され、バックドアとしての役割も果たす。
このInvisibleFerretは、古くは2023年11月頃から活動が観測されていますが、このマルウェアも時間の経過とともに変化してきています。
最近確認された変化は次のようなものです。
- InvisibleFerretを読みやすいPythonスクリプトからCythonでコンパイルされたバイナリに移行し、Windowsでは.pydファイル、macOSでは.soファイルとしてマルウェアを配布している。
- 配布形式は変更されたが、バックドアアクセス、ブラウザ認証情報の窃盗、クリップボード監視、キーロギング、暗号通貨ウォレットの標的化といったInvisibleFerretの中核機能は維持されている。
- InvisibleFerretは、Void Dokkaebiと呼ばれる脅威アクターのツールセットの一部として使われるが、一緒に使われるBeaverTailと呼ばれるマルウェアも単なるダウンローダーだった状態から、インフォスティーラーの機能だけでなくトロイの木馬機能などまで搭載するような状態に拡張されてきている。
Void Dokkaebiは、現在、仮想通貨ウォレットの認証情報、署名キー、継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインおよび本番環境へのアクセス権を持つソフトウェア開発者を組織的に標的にしています。
この脅威アクターの活動に限ったこととしてではありませんが、なんらかのリポジトリをクローンして利用するような際には、よくよくその実施しようとしている内容を確認するように注意していきたいですね。
Analyzing Void Dokkaebi’s Cython-Compiled InvisibleFerret Malware
https://www.trendmicro.com/en_us/research/26/e/analyzing-void-dokkaebi-invisibleferret-malware.html
| この記事をシェア |
|
|---|
