✅ レポートタイトル: 「Willo Campaign」で観察された北朝鮮が支援するAPTグループ「TraderTraitor」のマルウェア「GopherGrabber」に関する詳細分析
S2W脅威インテリジェンスセンターは、北朝鮮が支援するAPTグループ「TraderTraitor」に関連付けられている「Willo Campaign」に関する分析レポートを発行しました。
本レポートは、「GopherGrabber」のマルウェアに関連する難易度の高い脅威インテリジェンスレポートです。
✅ レポートの要約:
1)サプライチェーン攻撃「Willo Campaign」との関連が存在する悪性パッケージは、2024年6月に公式NPMリポジトリを通じて最初に流布されたことが確認されます。
- cors-app: “cors-parser”パッケージをインポートするローダー- cors-parser: 実際の悪意ある行為をindex.jsスクリプトを含む悪意あるパッケージ
2)マルウェアインストーラーは2024年7月、「Versus-X」というサービスのインストーラーに偽装して流布され、最終的なペイロードとして「GopherGrabber」が使用されます。
S2W脅威インテリジェンスセンターでは、Goプロジェクト型のソースコードを直接実行する形で流布され、マルチプラットフォーム環境で動作し、C2サーバーとMD5ハッシュ及びRC4で暗号化されたパケットを利用してHTTP/S通信を行うバックドア機能とスティーラー機能を持ったマルウェアを「GopherGrabber」と命名して追跡を行いました。
3)LinkedInスピアフィッシング
2024年12月以降、LinkedInプラットフォームで雇用オファーを通じてオンライン面接フィッシングページへのアクセスを誘導し、対象に悪意のあるコマンドの実行を誘導し、「GopherGrabber」マルウェアを流布する攻撃キャンペーンが発生しており、これを「Willo Campaign」と命名して追跡しました。
この際、攻撃ターゲットはIT開発者、セールスマネージャーなどの暗号資産業界の従事者として識別されます。
4)攻撃者
国が支援するAPTグループのマルウェア流布方法や攻撃目的などで北朝鮮が支援するAPTグループ「TraderTraitor」の特徴が多数発見されましたが、確認されたインフラの中でSSL証明書が中国APTグループ「UNC5221」のマルウェア 「WARPWIRE」のインフラと同様に使用された点に基づいて一部関連性が認められます。
5)事件の影響
「Willo Campaign」による暗号資産の窃取事件が報告されており、現在までの被害総額は約64,020ドルと推定されています。
📌「Willo Campaign」とは
2024年12月、暗号資産業界の従事者を狙った大規模なフィッシングキャンペーンが発生し、攻撃者はマルウェアを流布するために洗練された社会工学技術を使用したことが観察されました。
攻撃者は、LinkedInのような求人プラットフォームを介して被害者に雇用のオファーをしたり、Githubの問題ページで命令の実行を誘導してマルウェアをダウンロードするよう促しました。
また、オンライン面接プラットフォームであるWilloを詐称したフィッシングページを製作して疑いを避け、就職面接に関する質問に被害者が答えた後にのみマルウェアを流布する方法で攻撃を実行しました。
📌 マルウェアインストーラーとマルウェア「GopherGrabber」に関する詳細
S2W脅威分析チームは、「api.jz-aws [.] info」ドメインに関連する追加の脅威インテリジェンスを調査し、2024年7月12日にコンパイルされた別のマルウェアインストールプログラムを発見しました。
インストールファイルの正確な配布方法は確認されていませんが、マルウェアインストーラーは「VersusxSetup.exe」というファイル名で配布されており、インストールファイルのリソースセクションに含まれるアイコンがVersus Xサービスのアイコンと一致することがわかりました。
このサービスの公式SNSアカウントが7月11日にプライベートベータテストを発表したことを考慮すると、このマルウェアはVersus Xサービスに関心のあるユーザーをターゲットに設計されているもと評価されます。
マルウェアインストーラーの実行後、感染したデバイスにGo言語をダウンロードしてインストールし、バイナリに組み込まれているGoソースコードをドロップして実行します。
これらの感染方法とGoベースのマルウェアの使用は、その後「Willo Campaign」でも観察されました。
実行されたGoソースコードはバックドアと情報窃取機能を備えたマルウェアとして識別され、S2W脅威分析チームはこのマルウェアを「GopherGrabber」と命名し、その活動を継続的に追跡しています。
つまり、「GopherGrabber」とは、Go言語で作成されたプロジェクトのソースコードを圧縮した形で流布され、ブラウザの資格情報やユーザー情報を奪うマルウェアです。
このマルウェアは、MD5ハッシュとRC4で暗号化されたパケットを使用してC2サーバーとHTTP/S通信を実行するバックドアとして機能します。
「GopherGrabber」の詳細については、QUAXARソリューションを介してご確認ください。
✅ 脅威検出の推奨事項と対策方法:
4つの基準でレポートの内容を整理すると、次のようになります。
1)脅威の概要
「Willo Campaign」とは、暗号資産産業の従事者を対象とした洗練された社会工学技術を活用したフィッシングキャンペーンを意味します。
このキャンペーンの主な特徴は、Go言語で書かれたマルウェア「GopherGrabber」の使用です。
2)活動履歴
2024年6月、公式NPMパッケージリポジトリを通じたマルウェア流布事例が確認され、2024年7月にはVersus Xサービスインストールファイルに偽装されたマルウェア「GopherGrabber」が流布されました。
その後、2024年12月からフィッシングキャンペーンによる大規模な攻撃活動が急増したことがわかりました。
3)特徴
該当キャンペーンで流布されたマルウェアのサンプルは、2024年6月頃から流通したことが確認されました。
S2Wの分析によると、このマルウェアは、マルウェア「BeaverTail」または「InvisibleFerret」を開発した人物とは異なる開発者によって作成されたと推定され、それに応じて別のマルウェアクラスターに分類されました。
「Willo Campaign」で使用されているマルウェアのサンプルは、WindowsやmacOSなど、さまざまなプラットフォームで動作するように設計されているようで、継続的な感染のためのさまざまなメンテナンスメカニズムが含まれていることが特徴です。
4)攻撃者のプロファイリング
本レポートで取り上げている脅威キャンペーンは、北朝鮮のAPTグループである「TraderTraitor」の支援を受けている可能性が高いという評価を受けています。
ただし、中国APTグループ「UNC5221」に関連するマルウェア「WARPWIRE」のネットワークインフラストラクチャーとの一部関連性も観察されました。
既知の北朝鮮APTの攻撃方法(TTPs)と目的との一致性をもとに、中程度の信頼度で北朝鮮の仕業である可能性が評価されており、同時に中国APTグループとの接続の可能性も排除できません。
各事例の具体的な分析及び対応方法は、下記リンクよりお問い合わせください。
🧑💻 レポート作成者: S2W 「TALON」 (2025年3月9日基準)
👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact
*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。