Securonixはこのほど、「Research Update: Threat Actors Behind the DEV#POPPER Campaign Have Retooled and are Continuing to Target Software Developers via Social Engineering - Securonix」において、北朝鮮のサイバー攻撃キャンペーン「DEV#POPPER」がツールを一新して進化したと報じた。これは「Pythonベースのトロイの木馬配布するサイバー攻撃確認、北朝鮮関与の疑い | TECH+(テックプラス)」として報じた北朝鮮のサイバー攻撃キャンペーンの続報となる。
サイバー攻撃「DEV#POPPER」の進化
「DEV#POPPER」は転職を望むソフトウェア開発者を標的に、採用担当者を装った脅威アクターが偽の面接を通じてマルウェアを配布する。初期の侵害は従来と同様にノードパッケージマネージャー(npm: Node Package Manager)のパッケージファイルを使用する。被害者が採用担当者の要求に従いパッケージを実行すると、悪意のあるJavaScriptが実行されマルウェアに感染する。
Securonixによると、新しいマルウェアには次のような機能追加および改善がみられるという。
- 複数のオペレーティングシステムをサポート
- 特定の基準を満たす機密文書の抽出
- 主要なWebブラウザのCookie情報などを窃取
- リモート監視および管理(RMM: Remote Monitoring and Management)アプリの「AnyDesk」を悪用した永続性の確保
- FTP機能の自動化およびステルス性の向上
- 難読化とエンコードの強化
- ターゲットを絞った標的の位置情報の収集
- ターゲットを絞ったシステム情報の収集
Securonixの調査によると、このキャンペーンの被害者は主に韓国、北米、ヨーロッパ、中東の開発者とされ、被害は世界中に拡大しているという。
対策
Securonixはこのような攻撃を回避するために、従来の対策に加え、次の対策の実施を推奨している。
- 信頼できないコードやアプリを実行する必要がある場合は、仮想マシンまたはWindows Sandboxを使用する(参考:「How to configure Windows Sandbox - Microsoft Community Hub」)
- 自分がソーシャルエンジニアリング攻撃の標的になりうる事実を自覚する
北朝鮮によるサイバー攻撃キャンペーン「DEV#POPPER」は今後も継続すると推測されている。そのため、世界中のソフトウェア開発者には同様の攻撃への警戒を継続することが望まれている。