OtterCookie pahavara
Põhja-Korea küberosalised, kes on seotud kampaaniaga Contagious Interview, on kasutusele võtnud uue JavaScriptil põhineva ohu nimega OtterCookie. See kampaania, mida tuntakse ka kui DeceptiveDevelopment, kasutab keerukaid sotsiaalse inseneri taktikaid, et pakkuda seaduslike tööriistade või interaktsioonide varjus ähvardavat tarkvara.
Sisukord
Sotsiaalne inseneritöö nakkusliku intervjuu keskmes
Nakkusliku intervjuu kampaania tugineb suuresti sotsiaalsele manipuleerimisele, kusjuures ründajad esinevad värbajatena. Nad kasutavad töövõimalusi otsivaid inimesi ära, meelitades neid väljamõeldud intervjuu käigus pahatahtlikku tarkvara alla laadima. See saavutatakse ohustatud videokonverentsirakenduste või npm-pakettide levitamise kaudu, mida majutatakse platvormidel nagu GitHub või ametlikud pakettide registrid. Sellised meetodid on võimaldanud juurutada pahavaraperekondi nagu BeaverTail ja InvisibleFerret.
Ohu jälitamine
Turvateadlased, kes dokumenteerisid selle tegevuse esmakordselt 2023. aasta novembris, on kampaaniat jälginud identifikaatori CL-STA-0240 all. Häkkimisrühmale viitavad ka varjunimed nagu Famous Chollima ja Tenacious Pungsan. 2024. aasta septembriks avastasid teadlased rünnakuahela olulisi uuendusi, sealhulgas BeaverTaili arenenud versiooni. See värskendus tutvustas modulaarseid võimalusi, delegeerides oma andmete varguse toimingud Pythoni skriptidele, mille koondnimetus on CivetQ.
Erinevus operatsioonist Dream Job
Vaatamata sarnasustele operatsiooniga Unistuste töökoht, teine Põhja-Korea tööga seotud küberkampaania, on Contagious Interview endiselt erinev. Mõlemas kampaanias kasutatakse tööteemalisi peibutusvahendeid, kuid nende nakatumismeetodid ja tööriistakomplektid erinevad. See rõhutab erinevaid lähenemisviise, mida Põhja-Korea ohus osalejad kasutavad ohvrite sihtimiseks.
OtterCookie roll uuendatud rünnakuahelas
Hiljutised leiud on toonud esile OtterCookie kui kriitilise komponendi nakkavate intervjuude arsenalis. 2024. aasta septembris tutvustatud pahavara töötab koos BeaverTailiga, laadides ja käivitades selle kasuliku koormuse käsu-ja juhtimisserveri (C2) kaudu. Kasutades Socket.IO JavaScripti teeki, saab OtterCookie täita shellikäske tundlike andmete, nagu failid, lõikepuhvri sisu ja krüptovaluuta rahakoti võtmed, väljafiltreerimiseks.
Arenevad võimalused: OtterCookie variandid
OtterCookie esialgne versioon sisaldas oma koodibaasi otsest krüptovaluuta rahakoti võtmete varguse mehhanismi. Kuid 2024. aasta lõpus tuvastatud muudetud variant nihutas selle funktsiooni shellikäskude kaudu kaugkäivitamiseks. See kohandus illustreerib ründajate pidevaid jõupingutusi oma tööriistade täiustamiseks, säilitades samal ajal tõhusa nakkusahela.
Tööriista pideva värskendamise tagajärjed
OtterCookie ja selle uuendatud variantide tutvustamine näitab, et nakkusliku intervjuu kampaania pole kaugeltki seisma jäänud. Täiustades oma pahavara võimekust, jättes ründemetoodika suures osas muutmata, kinnitavad ohus osalejad kampaania jätkuvat edu ja kohanemisvõimet pahaaimamatute ohvrite sihtimisel.
