Malware OtterCookie
Severokorejští kybernetičtí aktéři spojení s kampaní Contagious Interview představili novou hrozbu založenou na JavaScriptu s názvem OtterCookie. Tato kampaň, známá také jako DeceptiveDevelopment, využívá sofistikované taktiky sociálního inženýrství k poskytování ohrožujícího softwaru pod rouškou legitimních nástrojů nebo interakcí.
Obsah
Sociální inženýrství v jádru nakažlivého rozhovoru
Kampaň Contagious Interview silně spoléhá na sociální inženýrství, přičemž útočníci vystupují jako náboráři. Vykořisťují jednotlivce hledající pracovní příležitosti a lákají je ke stažení škodlivého softwaru během vykonstruovaného procesu pohovoru. Toho je dosaženo distribucí kompromitovaných videokonferenčních aplikací nebo balíčků npm hostovaných na platformách jako GitHub nebo oficiálních registrech balíčků. Tyto metody umožnily nasazení rodin malwaru jako BeaverTail a InvisibleFerret.
Sledování hrozby
Bezpečnostní výzkumníci, kteří tuto aktivitu poprvé zdokumentovali v listopadu 2023, sledovali kampaň pod identifikátorem CL-STA-0240. Hackerská skupina je také označována aliasy jako Famous Chollima a Tenacious Pungsan. Do září 2024 výzkumníci odhalili významné aktualizace řetězce útoků, včetně vylepšené verze BeaverTail. Tato aktualizace zavedla modulární funkce a delegovala své operace krádeže dat na skripty Pythonu souhrnně nazvané CivetQ.
Rozdíl od operace Dream Job
Navzdory podobnosti s Operation Dream Job, další severokorejskou kybernetickou kampaní související s prací, Contagious Interview zůstává odlišný. Obě kampaně využívají návnady s tématikou práce, ale jejich metodologie infekce a sady nástrojů se liší. To podtrhuje různé přístupy, které severokorejští aktéři hrozeb využívají k zacílení na oběti.
Role OtterCookie v aktualizovaném řetězci útoků
Nedávná zjištění zdůraznila, že OtterCookie je kritickou součástí arzenálu Contagious Interview. Malware, představený v září 2024, funguje v tandemu s BeaverTail, načítá a spouští svůj náklad prostřednictvím serveru Command-and-Control (C2). Pomocí JavaScriptové knihovny Socket.IO může OtterCookie spouštět příkazy shellu k exfiltraci citlivých dat, jako jsou soubory, obsah schránky a klíče kryptoměnové peněženky.
Vyvíjející se schopnosti: Varianty OtterCookie
Počáteční verze OtterCookie začlenila do své kódové základny mechanismus přímé krádeže klíčů kryptoměnové peněženky. Revidovaná varianta, zjištěná koncem roku 2024, však posunula tuto funkci na vzdálené spouštění pomocí příkazů shellu. Tato úprava ilustruje pokračující snahy útočníků vylepšit své nástroje při zachování efektivního infekčního řetězce.
Důsledky průběžných aktualizací nástrojů
Představení OtterCookie a jeho aktualizovaných variant ukazuje, že kampaň Contagious Interview zdaleka nestagnuje. Vylepšením svých schopností malwaru a ponecháním metodologie útoků do značné míry nezměněné, aktéři hrozeb potvrzují pokračující úspěch a přizpůsobivost kampaně při zacílení na nic netušící oběti.
