OtterCookie Malware

সংক্রামক সাক্ষাত্কার প্রচারণার সাথে যুক্ত উত্তর কোরিয়ার সাইবার অভিনেতারা OtterCookie নামে একটি নতুন জাভাস্ক্রিপ্ট-ভিত্তিক হুমকি চালু করেছে। এই প্রচারাভিযান, যা DeceptiveDevelopment নামেও পরিচিত, বৈধ সরঞ্জাম বা মিথস্ক্রিয়াগুলির আড়ালে হুমকি সফ্টওয়্যার সরবরাহ করার জন্য অত্যাধুনিক সামাজিক প্রকৌশল কৌশল নিয়োগ করে।

সংক্রামক সাক্ষাৎকারের মূলে সামাজিক প্রকৌশল

সংক্রামক ইন্টারভিউ প্রচারাভিযান সামাজিক প্রকৌশলের উপর অনেক বেশি নির্ভর করে, আক্রমণকারীরা নিয়োগকারী হিসাবে জাহির করে। তারা চাকরির সুযোগ খুঁজছেন এমন ব্যক্তিদের শোষণ করে, একটি বানোয়াট ইন্টারভিউ প্রক্রিয়া চলাকালীন অশুভ সফ্টওয়্যার ডাউনলোড করার জন্য তাদের প্রলুব্ধ করে। GitHub বা অফিসিয়াল প্যাকেজ রেজিস্ট্রির মতো প্ল্যাটফর্মে হোস্ট করা আপস করা ভিডিও কনফারেন্সিং অ্যাপ্লিকেশন বা npm প্যাকেজ বিতরণের মাধ্যমে এটি অর্জন করা হয়। এই ধরনের পদ্ধতিগুলি BeaverTail এবং InvisibleFerret এর মতো ম্যালওয়্যার পরিবারগুলির স্থাপনাকে সক্ষম করেছে৷

থ্রেট ট্রেসিং

নিরাপত্তা গবেষকরা, যারা 2023 সালের নভেম্বরে এই কার্যকলাপটি প্রথম নথিভুক্ত করেছিলেন, তারা CL-STA-0240 শনাক্তকারীর অধীনে প্রচারটি ট্র্যাক করেছেন৷ হ্যাকিং গ্রুপটিকে বিখ্যাত চোল্লিমা এবং টেনাশিয়াস পুংসানের মতো উপনাম দ্বারাও উল্লেখ করা হয়। 2024 সালের সেপ্টেম্বরের মধ্যে, গবেষকরা বিভারটেইলের একটি বিবর্তিত সংস্করণ সহ আক্রমণ শৃঙ্খলে উল্লেখযোগ্য আপডেটগুলি আবিষ্কার করেছেন। এই আপডেটটি মডুলার ক্ষমতার সূচনা করেছে, এটির ডেটা-চুরি ক্রিয়াকলাপগুলিকে পাইথন স্ক্রিপ্টে সমষ্টিগতভাবে CivetQ নামে অর্পণ করেছে।

অপারেশন ড্রিম জব থেকে পার্থক্য

অপারেশন ড্রিম জবের সাথে মিল থাকা সত্ত্বেও, অন্য একটি চাকরি-সম্পর্কিত উত্তর কোরিয়ার সাইবার প্রচারাভিযান, সংক্রামক সাক্ষাৎকারটি স্বতন্ত্র রয়ে গেছে। উভয় প্রচারেই জব-থিমযুক্ত ডেকয় নিযুক্ত করে, কিন্তু তাদের সংক্রমণের পদ্ধতি এবং টুলসেটগুলি ভিন্ন হয়ে যায়। এটি উত্তর কোরিয়ার হুমকি অভিনেতারা শিকারদের টার্গেট করার জন্য ব্যবহার করা বিভিন্ন পদ্ধতির উপর জোর দেয়।

আপডেট করা অ্যাটাক চেইনে ওটারকুকির ভূমিকা

সাম্প্রতিক অনুসন্ধানগুলি অটারকুকিকে সংক্রামক সাক্ষাত্কার অস্ত্রাগারের একটি গুরুত্বপূর্ণ উপাদান হিসাবে হাইলাইট করেছে। 2024 সালের সেপ্টেম্বরে প্রবর্তিত ম্যালওয়্যারটি BeaverTail-এর সাথে মিলে কাজ করে, একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের মাধ্যমে এর পেলোড আনয়ন এবং কার্যকর করে। Socket.IO জাভাস্ক্রিপ্ট লাইব্রেরি ব্যবহার করে, OtterCookie ফাইল, ক্লিপবোর্ডের বিষয়বস্তু এবং ক্রিপ্টোকারেন্সি ওয়ালেট কী-এর মতো সংবেদনশীল ডেটা বের করে আনতে শেল কমান্ড চালাতে পারে।

বিকশিত ক্ষমতা: OtterCookie ভেরিয়েন্ট

OtterCookie-এর প্রাথমিক সংস্করণটি তার কোডবেসের মধ্যে একটি সরাসরি ক্রিপ্টোকারেন্সি ওয়ালেট কী চুরির প্রক্রিয়া অন্তর্ভুক্ত করেছে। যাইহোক, একটি সংশোধিত বৈকল্পিক, যা 2024 সালের শেষের দিকে সনাক্ত করা হয়েছিল, এই বৈশিষ্ট্যটিকে শেল কমান্ডের মাধ্যমে রিমোট এক্সিকিউশনে স্থানান্তরিত করেছে। এই অভিযোজন আক্রমণকারীদের একটি কার্যকর সংক্রমণ শৃঙ্খল বজায় রেখে তাদের সরঞ্জামগুলি পরিমার্জিত করার চলমান প্রচেষ্টাকে চিত্রিত করে।

ক্রমাগত টুল আপডেটের প্রভাব

OtterCookie এর প্রবর্তন এবং এর আপডেট করা রূপগুলি দেখায় যে সংক্রামক ইন্টারভিউ প্রচারাভিযান স্থবির থেকে অনেক দূরে। তাদের ম্যালওয়্যার ক্ষমতা বৃদ্ধি করে এবং তাদের আক্রমণের পদ্ধতিকে অনেকাংশে অপরিবর্তিত রেখে, হুমকি অভিনেতারা সন্দেহভাজন শিকারদের লক্ষ্যবস্তুতে প্রচারণার অব্যাহত সাফল্য এবং অভিযোজনযোগ্যতা নিশ্চিত করে।