Pythonベースのトロイの木馬配布するサイバー攻撃確認、北朝鮮関与の疑い
マイナビニュース2024年5月2日(木)8時56分
Securonixはこのほど、「Analysis of DEV#POPPER: New Attack Campaign Targeting Software Developers Likely Associated With North Korean Threat Actors - Securonix」において、ソフトウェア開発者を標的とするPythonベースの遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)を配布するサイバー攻撃のキャンペーン「DEV#POPPER」を発見したと報じた。このキャンペーンは北朝鮮に関係する脅威アクターが実施したものと推測されている。
○キャンペーン「DEV#POPPER」の概要
Securonixによると、このキャンペーンでは正規の面接官を装った脅威アクターが偽の面接を通じてマルウェアを配布するという。面接に応募すると、GitHubリポジトリからノードパッケージマネージャー(npm: Node Package Manager)のパッケージファイルをダウンロードするように要求される。
パッケージファイルには「Frontend」と「Backend」の2つのディレクトリが含まれており、Backendに悪意のあるJavaScriptが含まれている。このJavaScriptは一見するとデータベース「MongoDB」を操作する簡単なコードのように見えるが、実際は画面に表示されない水平方向右側に悪意のある長いコードが隠されている。
このnpmパッケージを実行すると難読化された悪意のあるJavaScriptが実行され、リモートから追加のアーカイブファイルをダウンロードしてユーザーの一時ディレクトリに展開する。展開したアーカイブファイルにはpython.exeと悪意のあるPythonスクリプトが含まれており、このpython.exeを使用して実行される。
Pythonスクリプトはさらに別のPythonスクリプトを実行する。この2番目のPythonスクリプトが難読化されたマルウェア本体とされ、システム情報およびネットワーク情報を窃取し、その後遠隔操作型トロイの木馬として機能するとされる。
○対策
Securonixはこのような攻撃を回避するために、次のような対策を推奨している。
面接のような高いストレスを受ける状況下においても警戒を怠らず、セキュリティ意識を維持する
このような攻撃では一時ディレクトリを悪用することが多い。一時ディレクトリに対する不審な活動を監視する
通常の利用において実行することのないPythonなどのスクリプト言語の使用を監視する。この作業のためにSysmonやPowerShellログなどの追加のログを利用する
Securonixは同様の攻撃が継続しているとして、注意を呼びかけている。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)が公開されており、必要に応じて活用することが望まれている。
○キャンペーン「DEV#POPPER」の概要
Securonixによると、このキャンペーンでは正規の面接官を装った脅威アクターが偽の面接を通じてマルウェアを配布するという。面接に応募すると、GitHubリポジトリからノードパッケージマネージャー(npm: Node Package Manager)のパッケージファイルをダウンロードするように要求される。
パッケージファイルには「Frontend」と「Backend」の2つのディレクトリが含まれており、Backendに悪意のあるJavaScriptが含まれている。このJavaScriptは一見するとデータベース「MongoDB」を操作する簡単なコードのように見えるが、実際は画面に表示されない水平方向右側に悪意のある長いコードが隠されている。
このnpmパッケージを実行すると難読化された悪意のあるJavaScriptが実行され、リモートから追加のアーカイブファイルをダウンロードしてユーザーの一時ディレクトリに展開する。展開したアーカイブファイルにはpython.exeと悪意のあるPythonスクリプトが含まれており、このpython.exeを使用して実行される。
Pythonスクリプトはさらに別のPythonスクリプトを実行する。この2番目のPythonスクリプトが難読化されたマルウェア本体とされ、システム情報およびネットワーク情報を窃取し、その後遠隔操作型トロイの木馬として機能するとされる。
○対策
Securonixはこのような攻撃を回避するために、次のような対策を推奨している。
面接のような高いストレスを受ける状況下においても警戒を怠らず、セキュリティ意識を維持する
このような攻撃では一時ディレクトリを悪用することが多い。一時ディレクトリに対する不審な活動を監視する
通常の利用において実行することのないPythonなどのスクリプト言語の使用を監視する。この作業のためにSysmonやPowerShellログなどの追加のログを利用する
Securonixは同様の攻撃が継続しているとして、注意を呼びかけている。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)が公開されており、必要に応じて活用することが望まれている。
「馬」をもっと詳しく
「馬」のニュース
-
古川奈穂騎手が函館8Rのゲート内で顔面負傷 16日は全3鞍が乗り替わり6月15日17時40分
-
古川奈穂は「顔面の負傷」 函館8Rで騎乗馬が発馬機内で暴れる 16日3鞍乗り替わり6月15日17時22分
-
江口拓也、斉藤壮馬ら人気声優12人集結 タイBLドラマの日本語吹替版配信6月15日16時30分
-
【宝塚記念】ブローザホーンが坂路を力強く登坂 併走遅れにも吉岡調教師「状態はすごくいい」6月15日16時23分
-
土曜メインレースの注目激走馬…京都11R米子ステークス(L)6月15日14時23分
-
【東京6R・2歳新馬】新種牡馬ナダルやっべぇぞ! クレーキングで産駒3勝目&ワンツー決着6月15日14時4分
-
古川奈穂が負傷 函館8Rでサイモンオリーブが発馬機内で暴れる6月15日13時53分
-
土曜東京競馬場の注目激走馬…東京11R多摩川ステークス6月15日13時43分
-
【函館6R・2歳新馬】武豊騎手がリリーフィールドでV「いいフットワーク」 モズアスコットは産駒初勝利6月15日13時33分
-
【京都5R・2歳新馬】現2歳初のダート戦はハッピーマンが圧勝 坂井瑠星騎手「結果も内容も良かった」6月15日13時25分