北朝鮮系InvisibleFerret、開発者と暗号資産企業標的

InvisibleFerret、Cython利用した検出回避構成を確認

北朝鮮関連グループ「Void Dokkaebi」に関連する活動において、「InvisibleFerret」マルウェアの新たな構成が確認されている。本件では、PythonベースのコードをCython経由でC/C++形式へ変換し、コンパイルする手法が利用されている。

生成されたモジュールは、Windows環境では「.pyd」、macOS環境では「.so」形式で配布される。これらはPythonインタープリター実行時にPython拡張モジュールとして動作する構成となっている。

分析では、この方式により、従来の静的解析やシグネチャベース検出において解析対象が増加するケースが確認されている。実行時にロードされるモジュールや生成スクリプトの双方を確認する必要がある構成とされる。

InvisibleFerretには、バックドア通信、ブラウザ認証情報取得、クリップボード監視、キーロギング、暗号資産ウォレット関連データ取得などの機能が含まれている。また、本キャンペーンでは、ソフトウェア開発者や暗号資産関連企業を対象とした活動が確認されている。

さらに、Void Dokkaebi関連活動では、Cythonを利用することでPythonスクリプトベースの検出を回避する構成も確認されている。

BeaverTailローダーと難読化手法の変化

JavaScriptベースのローダー「BeaverTail」では、InvisibleFerretと類似した構成への変化が確認されている。分析では、複数の難読化技法を利用した構成が確認されている。

使用されている技法には、シャッフルされたBase64配列、XOR暗号化、コマンド＆コントロール（C2）インフラの分割、複数形式のエンコーディングなどが含まれている。

また、関連分析では、コンパイル済み拡張モジュールと実行時スクリプトの双方を対象とした解析が必要となるケースも指摘されている。InvisibleFerret関連活動では、ソフトウェア開発環境や暗号資産関連環境を対象とした活動が継続的に確認されている。

さらに、Void Dokkaebi関連活動では、ソフトウェアサプライチェーンや暗号資産関連インフラを対象とした運用形態が確認されている。