はじめに: 「Contagious Interview」作戦の概要
北朝鮮関連の脅威アクターによる巧妙なキャンペーンが明らかになりました。この「Contagious Interview」作戦は、正規のJSONストレージサービスを悪用し、トロイの木馬化したコードを通じて高度なマルウェアを世界中のソフトウェア開発者に展開しています。特に、仮想通貨やWeb3開発プロジェクトに関わる個人が標的とされており、攻撃者の北朝鮮政権のための金銭的利益とデジタル資産の窃取という明確な動機が反映されています。
初期アクセス: ソーシャルエンジニアリングの手口
攻撃は、綿密に練られたソーシャルエンジニアリングから始まります。脅威アクターは、LinkedInなどのプロフェッショナルネットワーキングプラットフォームで偽の採用担当者プロフィールを作成し、正規の採用担当者や企業代表者を装います。初期のやり取りで信頼関係を築いた後、偽の採用担当者はGitLabなどの正規のコードリポジトリでホストされた「デモプロジェクト」を送りつけ、ターゲットにNode.jsを使用した面接コーディングタスクの実行を要求します。
マルウェア配信の巧妙なメカニズム
マルウェア配信の技術的な巧妙さは、デモプロジェクトの構成ファイル、具体的にはserver/config/.config.envにあります。脅威アクターは、ここにBase64エンコードされた変数を埋め込み、これらが正規のAPIキーであるかのように偽装します。これらの変数をデコードすると、JSON Keeper、JSON Silo、npoint.ioなどの正規のJSONストレージサービスを指すURLが明らかになります。これらのサービスは、プロジェクトが実行される際に動的にフェッチおよび実行される、高度に難読化されたJavaScriptコードをホストしています。この手法は、静的分析による検出を回避するように意図的に設計されており、実行時には難読化されたコードが正規のAPIトラフィックとして振る舞い、正当なネットワーク活動にシームレスに溶け込みます。
主要ペイロード: インフォスティーラー「BeaverTail」
複数の難読化レイヤーを解除した後、主要なペイロードとしてインフォスティーラー「BeaverTail」が展開されます。BeaverTailは、高度なデータ窃取能力を持っています。
- ブラウザプロファイルの窃取: MetaMask、Phantom、TronLinkなどの仮想通貨ウォレット拡張機能に焦点を当てて窃取します。
- システム情報の窃取: システム情報、Word文書、PDFファイル、スクリーンショット、環境変数を窃取します。
- macOSシステム特有の窃取: macOSシステムでは、機密性の高いパスワードを含むユーザーのキーチェーンデータベースも窃取します。
二次ペイロード: リモートアクセス型トロイの木馬「InvisibleFerret」
BeaverTailは、その後、モジュール式のPythonベースのリモートアクセス型トロイの木馬(RAT)である「InvisibleFerret」をフェッチし、実行します。InvisibleFerretは、高度な難読化技術を組み込んでおり、文字列難読化のための埋め込みXORキーや、ペイロード配布を継続するための1,000以上のエンコードされたURLを埋め込んでいます。このRATは、3つのコンポーネントからなる「Tsunami」フレームワークを内部に持っています。
高度な永続化メカニズム: Tsunamiフレームワーク
InvisibleFerret内のTsunamiフレームワークは、システムへの永続的なアクセスを確保するために設計されています。
- Tsunami Payload: Windows Defenderの例外を追加し、スケジュールされたタスクを作成します。
- Tsunami Injector: 永続性を確保し、必要なPythonパッケージをインストールします。
- Tsunami Infector: Pythonのインストールを検証し、必要に応じてUACプロンプトを使用して管理者権限でサイレントインストールします。
このフレームワークは、ペイロードの整合性検証のためにRSA署名検証を実装しており、成熟した運用セキュリティプラクティスを示しています。
キャンペーンの成功と対策
このキャンペーンは、かなりの成功を収めている証拠があり、ペイロードのステージングに使用されたあるPastebinリポジトリは400回以上閲覧されています。研究者たちは、発見された指標を基に追加のリポジトリとインフラコンポーネントを特定しました。セキュリティチームは、悪用されたJSONストレージサービスの代表者と連携し、悪意のあるコンテンツの削除を確認し、継続的な監視を約束しました。
「Contagious Interview」キャンペーンは、洗練された脅威アクターが正規の信頼されたインフラを悪用して、運用上ステルス性を保ちながら標的型攻撃を実行する方法の典型例です。組織は、すべての採用評価に対して厳格なコードレビュープロセスを導入し、公式チャネルを通じて採用担当者の正当性を確認し、包括的な防御戦略の一環としてJSONストレージサービスへの異常なAPIリクエストを監視する必要があります。