OtterCookie Зловреден софтуер
Севернокорейски кибер актьори, свързани с кампанията Contagious Interview, въведоха нова базирана на JavaScript заплаха, наречена OtterCookie. Тази кампания, известна също като DeceptiveDevelopment, използва сложни тактики за социално инженерство, за да достави заплашителен софтуер под прикритието на законни инструменти или взаимодействия.
Съдържание
Социалното инженерство в основата на заразителното интервю
Кампанията Contagious Interview разчита до голяма степен на социално инженерство, като нападателите се представят за вербовчици. Те експлоатират хора, търсещи възможности за работа, като ги примамват да изтеглят злонамерен софтуер по време на изфабрикуван процес на интервю. Това се постига чрез разпространение на компрометирани приложения за видеоконференции или npm пакети, хоствани на платформи като GitHub или официални регистри на пакети. Такива методи позволиха внедряването на фамилии зловреден софтуер като BeaverTail и InvisibleFerret.
Проследяване на заплахата
Изследователите по сигурността, които първи документираха тази дейност през ноември 2023 г., проследиха кампанията под идентификатора CL-STA-0240. Хакерската група се споменава и с псевдоними като Famous Chollima и Tenacious Pungsan. До септември 2024 г. изследователите откриха значителни актуализации на веригата за атака, включително еволюирала версия на BeaverTail. Тази актуализация въведе модулни възможности, като делегира своите операции за кражба на данни на скриптове на Python, наречени заедно CivetQ.
Разграничение от Operation Dream Job
Въпреки приликите си с Operation Dream Job, друга севернокорейска кибер кампания, свързана с работата, Contagious Interview остава различна. И двете кампании използват примамки на тема работа, но техните методологии за заразяване и набори от инструменти се различават. Това подчертава разнообразните подходи, които севернокорейските заплахи използват за насочване към жертвите.
Ролята на OtterCookie в актуализираната верига на атаки
Последните открития подчертаха OtterCookie като критичен компонент в арсенала на заразните интервюта. Зловреден софтуер, представен през септември 2024 г., работи в тандем с BeaverTail, извличайки и изпълнявайки своя полезен товар чрез сървър за командване и управление (C2). Използвайки библиотеката Socket.IO JavaScript, OtterCookie може да изпълнява команди на обвивката, за да ексфилтрира чувствителни данни като файлове, съдържание на клипборда и ключове на портфейла за криптовалута.
Развиващи се възможности: Варианти на OtterCookie
Първоначалната версия на OtterCookie включва директен механизъм за кражба на ключове за портфейл за криптовалута в своята кодова база. Въпреки това, ревизиран вариант, открит в края на 2024 г., измести тази функция към отдалечено изпълнение чрез команди на обвивката. Тази адаптация илюстрира продължаващите усилия на нападателите да усъвършенстват своите инструменти, като същевременно поддържат ефективна верига за заразяване.
Последици от непрекъснатите актуализации на инструментите
Въвеждането на OtterCookie и неговите актуализирани варианти демонстрира, че кампанията Contagious Interview далеч не е в застой. Като подобряват възможностите си за злонамерен софтуер, като същевременно оставят методологията си на атака до голяма степен непроменена, участниците в заплахата потвърждават постоянния успех и адаптивността на кампанията при насочване към нищо неподозиращи жертви.
