OtterCookie Malware
Nordkoreanske cyberaktører knyttet til Contagious Interview-kampagnen har introduceret en ny JavaScript-baseret trussel ved navn OtterCookie. Denne kampagne, også kendt som DeceptiveDevelopment, anvender sofistikerede social engineering-taktikker til at levere truende software under dække af legitime værktøjer eller interaktioner.
Indholdsfortegnelse
Social Engineering i kernen af smitsomt interview
Contagious Interview-kampagnen er stærkt afhængig af social engineering, hvor angriberne udgiver sig for at rekruttere. De udnytter personer, der søger jobmuligheder, og lokker dem til at downloade ondsindet software under en opdigtet interviewproces. Dette opnås gennem distribution af kompromitterede videokonferenceapplikationer eller npm-pakker hostet på platforme som GitHub eller officielle pakkeregistre. Sådanne metoder har gjort det muligt at implementere malware-familier som BeaverTail og InvisibleFerret.
Sporing af truslen
Sikkerhedsforskere, som først dokumenterede denne aktivitet i november 2023, har sporet kampagnen under identifikationen CL-STA-0240. Hacking-gruppen omtales også af aliaser som den berømte Chollima og den vedholdende Pungsan. I september 2024 afslørede forskere betydelige opdateringer til angrebskæden, inklusive en udviklet version af BeaverTail. Denne opdatering introducerede modulære muligheder, og uddelegerede dens datatyveri til Python-scripts, der samlet kaldes CivetQ.
Udmærkelse fra Operation Dream Job
På trods af dets ligheder med Operation Dream Job, en anden jobrelateret nordkoreansk cyberkampagne, forbliver Contagious Interview distinkt. Begge kampagner anvender lokkefugle med jobtema, men deres infektionsmetoder og værktøjssæt er forskellige. Dette understreger de forskellige tilgange, nordkoreanske trusselsaktører bruger til at målrette mod ofre.
OtterCookies rolle i den opdaterede angrebskæde
Nylige resultater har fremhævet OtterCookie som en kritisk komponent i Contagious Interview-arsenalet. Malwaren, der blev introduceret i september 2024, fungerer sammen med BeaverTail og henter og udfører dens nyttelast via en Command-and-Control-server (C2). Ved at bruge Socket.IO JavaScript-biblioteket kan OtterCookie udføre shell-kommandoer for at eksfiltrere følsomme data såsom filer, udklipsholderindhold og cryptocurrency wallet-nøgler.
Udviklingsevner: OtterCookie-varianter
Den oprindelige version af OtterCookie inkorporerede en direkte tyverimekanisme for cryptocurrency-pungnøgler i sin kodebase. Men en revideret variant, opdaget i slutningen af 2024, flyttede denne funktion til fjernudførelse via shell-kommandoer. Denne tilpasning illustrerer angribernes igangværende bestræbelser på at forfine deres værktøjer og samtidig opretholde en effektiv infektionskæde.
Implikationer af løbende værktøjsopdateringer
Introduktionen af OtterCookie og dens opdaterede varianter viser, at Contagious Interview-kampagnen langt fra er stillestående. Ved at forbedre deres malware-kapaciteter, mens de lader deres angrebsmetode stort set uændret, bekræfter trusselsaktørerne kampagnens fortsatte succes og tilpasningsevne med hensyn til at målrette intetanende ofre.
