Pythonベースのトロイの木馬配布するサイバー攻撃確認、北朝鮮関与の疑い
マイナビニュース / 2024年5月2日 8時56分
Securonixはこのほど、「Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors - Securonix」において、ソフトウェア開発者を標的とするPythonベースの遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)を配布するサイバー攻撃のキャンペーン「DEV#POPPER」を発見したと報じた。このキャンペーンは北朝鮮に関係する脅威アクターが実施したものと推測されている。
○キャンペーン「DEV#POPPER」の概要
Securonixによると、このキャンペーンでは正規の面接官を装った脅威アクターが偽の面接を通じてマルウェアを配布するという。面接に応募すると、GitHubリポジトリからノードパッケージマネージャー(npm: Node Package Manager)のパッケージファイルをダウンロードするように要求される。
パッケージファイルには「Frontend」と「Backend」の2つのディレクトリが含まれており、Backendに悪意のあるJavaScriptが含まれている。このJavaScriptは一見するとデータベース「MongoDB」を操作する簡単なコードのように見えるが、実際は画面に表示されない水平方向右側に悪意のある長いコードが隠されている。
このnpmパッケージを実行すると難読化された悪意のあるJavaScriptが実行され、リモートから追加のアーカイブファイルをダウンロードしてユーザーの一時ディレクトリに展開する。展開したアーカイブファイルにはpython.exeと悪意のあるPythonスクリプトが含まれており、このpython.exeを使用して実行される。
Pythonスクリプトはさらに別のPythonスクリプトを実行する。この2番目のPythonスクリプトが難読化されたマルウェア本体とされ、システム情報およびネットワーク情報を窃取し、その後遠隔操作型トロイの木馬として機能するとされる。
○対策
Securonixはこのような攻撃を回避するために、次のような対策を推奨している。
面接のような高いストレスを受ける状況下においても警戒を怠らず、セキュリティ意識を維持する
このような攻撃では一時ディレクトリを悪用することが多い。一時ディレクトリに対する不審な活動を監視する
通常の利用において実行することのないPythonなどのスクリプト言語の使用を監視する。この作業のためにSysmonやPowerShellログなどの追加のログを利用する
Securonixは同様の攻撃が継続しているとして、注意を呼びかけている。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)が公開されており、必要に応じて活用することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
チェック・ポイント・リサーチ、2024年4月に最も活発だったマルウェアを発表。国内ランキングで初の首位となったAndroxgh0stによる攻撃が世界的に急増
PR TIMES / 2024年5月17日 16時45分
-
有名ブランド偽装してブラウザ拡張機能を要求するWebサイトに注意
マイナビニュース / 2024年5月16日 12時11分
-
Androidアプリに悪意あるコードを追加して再配布するマルウェアに注意
マイナビニュース / 2024年5月2日 8時31分
-
新種のバックドア「MadMxShell」、Google広告を悪用する手口
マイナビニュース / 2024年4月29日 11時31分
-
Chromeだと思ったらマルウェアだった、Android狙うサイバー攻撃に注意
マイナビニュース / 2024年4月27日 9時5分
ランキング
-
1Google、Android上でChrome OSを試験的に実行中
マイナビニュース / 2024年5月19日 17時15分
-
2「現場を知らなすぎ」 政府広報が投稿「令和の給食」写真に批判続出…… 識者が指摘した“学校給食の問題点”
ねとらぼ / 2024年5月18日 7時30分
-
3モトローラの新ミドル機は控えめ価格なのに、FeliCa&防水&薄型軽量に美しいデザインと贅沢な1台
ASCII.jp / 2024年5月19日 12時0分
-
4「思わず笑った」 ハードオフに4万4000円で売られていた“まさかのフィギュア”に仰天 「玄関に置いときたい」
ねとらぼ / 2024年5月19日 12時0分
-
5ダイソーで110円の「スマートフォンレンズセット」を半信半疑で試してみる 「魚眼」は実用可能
ITmedia Mobile / 2024年5月19日 11時30分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください