Pythonベースのトロイの木馬配布するサイバー攻撃確認、北朝鮮関与の疑い
マイナビニュース / 2024年5月2日 8時56分
Securonixはこのほど、「Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors - Securonix」において、ソフトウェア開発者を標的とするPythonベースの遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)を配布するサイバー攻撃のキャンペーン「DEV#POPPER」を発見したと報じた。このキャンペーンは北朝鮮に関係する脅威アクターが実施したものと推測されている。
○キャンペーン「DEV#POPPER」の概要
Securonixによると、このキャンペーンでは正規の面接官を装った脅威アクターが偽の面接を通じてマルウェアを配布するという。面接に応募すると、GitHubリポジトリからノードパッケージマネージャー(npm: Node Package Manager)のパッケージファイルをダウンロードするように要求される。
パッケージファイルには「Frontend」と「Backend」の2つのディレクトリが含まれており、Backendに悪意のあるJavaScriptが含まれている。このJavaScriptは一見するとデータベース「MongoDB」を操作する簡単なコードのように見えるが、実際は画面に表示されない水平方向右側に悪意のある長いコードが隠されている。
このnpmパッケージを実行すると難読化された悪意のあるJavaScriptが実行され、リモートから追加のアーカイブファイルをダウンロードしてユーザーの一時ディレクトリに展開する。展開したアーカイブファイルにはpython.exeと悪意のあるPythonスクリプトが含まれており、このpython.exeを使用して実行される。
Pythonスクリプトはさらに別のPythonスクリプトを実行する。この2番目のPythonスクリプトが難読化されたマルウェア本体とされ、システム情報およびネットワーク情報を窃取し、その後遠隔操作型トロイの木馬として機能するとされる。
○対策
Securonixはこのような攻撃を回避するために、次のような対策を推奨している。
面接のような高いストレスを受ける状況下においても警戒を怠らず、セキュリティ意識を維持する
このような攻撃では一時ディレクトリを悪用することが多い。一時ディレクトリに対する不審な活動を監視する
通常の利用において実行することのないPythonなどのスクリプト言語の使用を監視する。この作業のためにSysmonやPowerShellログなどの追加のログを利用する
Securonixは同様の攻撃が継続しているとして、注意を呼びかけている。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)が公開されており、必要に応じて活用することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
有名ブランド偽装してブラウザ拡張機能を要求するWebサイトに注意
マイナビニュース / 2024年5月16日 12時11分
-
Androidアプリに悪意あるコードを追加して再配布するマルウェアに注意
マイナビニュース / 2024年5月2日 8時31分
-
新種のバックドア「MadMxShell」、Google広告を悪用する手口
マイナビニュース / 2024年4月29日 11時31分
-
Chromeだと思ったらマルウェアだった、Android狙うサイバー攻撃に注意
マイナビニュース / 2024年4月27日 9時5分
-
Android狙うバンキング型トロイの木馬「SoumniBot」発見、型破りな分析妨害
マイナビニュース / 2024年4月22日 7時48分
ランキング
-
1ノリノリの音楽とともに敵を殲滅!リズムゲー要素ありなローグライクシューティングは日本語にも対応―採れたて!本日のSteam注目ゲーム8選【2024年5月16日】
Game*Spark / 2024年5月16日 22時0分
-
2小室哲哉も視聴済み 「Get Wildだと思ったらにんげんていいなだった」が約20万再生の人気で「このセンスほんと好き」「最高www」
ねとらぼ / 2024年5月16日 20時30分
-
3鋭すぎて取り扱い注意! 日本では珍しい先端0.1mmのテストリードが1400円
ASCII.jp / 2024年5月16日 10時0分
-
4室内外機が一体化!2~3.7帖まで強力に冷やせるポータブルエアコン「BougeRV 1100W/4000BTU」
IGNITE / 2024年5月17日 10時26分
-
5「あて所に尋ねあたりません」 日本郵便の“404エラーページ”がおしゃれと話題 「センスいい」「遊び心よ」
ねとらぼ / 2024年5月16日 16時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください