OtterCookie-haittaohjelma
Contagious Interview -kampanjaan linkitetyt pohjoiskorealaiset kybertoimijat ovat ottaneet käyttöön uuden JavaScript-pohjaisen uhan nimeltä OtterCookie. Tämä kampanja, joka tunnetaan myös nimellä DeceptiveDevelopment, käyttää kehittyneitä sosiaalisen suunnittelun taktiikkaa uhkaavien ohjelmistojen toimittamiseen laillisten työkalujen tai vuorovaikutusten varjolla.
Sisällysluettelo
Sosiaalinen suunnittelu tarttuvan haastattelun ytimessä
Tartuttava haastattelu -kampanja perustuu vahvasti sosiaaliseen suunnitteluun, ja hyökkääjät esiintyvät rekrytoijina. He käyttävät hyväkseen työmahdollisuuksia etsiviä henkilöitä houkuttelemalla heidät lataamaan pahantahtoisia ohjelmistoja tekaistujen haastatteluprosessien aikana. Tämä saavutetaan jakamalla vaarantuneita videoneuvottelusovelluksia tai npm-paketteja, joita isännöidään alustoilla, kuten GitHub tai virallisissa pakettirekistereissä. Tällaiset menetelmät ovat mahdollistaneet haittaohjelmaperheiden, kuten BeaverTail ja InvisibleFerret, käyttöönoton.
Uhan jäljittäminen
Tietoturvatutkijat, jotka dokumentoivat tämän toiminnan ensimmäisen kerran marraskuussa 2023, ovat seuranneet kampanjaa tunnisteella CL-STA-0240. Hakkerointiryhmään viitataan myös aliaksilla, kuten Famous Chollima ja Tenacious Pungsan. Syyskuuhun 2024 mennessä tutkijat löysivät merkittäviä päivityksiä hyökkäysketjuun, mukaan lukien kehittynyt versio BeaverTailista. Tämä päivitys esitteli modulaariset ominaisuudet delegoimalla sen tietovarkaustoiminnot Python-skripteille, joiden yhteisnimi on CivetQ.
Ero Operation Dream Jobista
Huolimatta samankaltaisuuksistaan Operation Dream Jobiin, toiseen työhön liittyvään Pohjois-Korean kyberkampanjaan, Contagious Interview on edelleen erilainen. Molemmissa kampanjoissa käytetään työaiheisia houkutuksia, mutta niiden tartuntamenetelmät ja työkalut eroavat toisistaan. Tämä korostaa Pohjois-Korean uhkatoimijoiden erilaisia lähestymistapoja uhrien kohdistamiseen.
OtterCookien rooli päivitetyssä hyökkäysketjussa
Viimeaikaiset havainnot ovat korostaneet OtterCookien olevan tärkeä osa Contagious Interview -arsenaalia. Syyskuussa 2024 esitelty haittaohjelma toimii yhdessä BeaverTailin kanssa noutaen ja suorittaen hyötykuorman Command-and-Control (C2) -palvelimen kautta. Käyttämällä Socket.IO JavaScript -kirjastoa OtterCookie voi suorittaa komentotulkkikomentoja arkaluontoisten tietojen, kuten tiedostojen, leikepöydän sisällön ja kryptovaluuttojen lompakkoavainten, suodattamiseksi.
Kehittyvät ominaisuudet: OtterCookie-versiot
OtterCookien alkuperäinen versio sisälsi koodikantaansa suoran kryptovaluutan lompakon avaimen varkausmekanismin. Kuitenkin vuoden 2024 lopulla havaittu tarkistettu versio siirsi tämän ominaisuuden etäsuoritukseen komentotulkkikomentojen kautta. Tämä mukautus havainnollistaa hyökkääjien jatkuvaa pyrkimystä parantaa työkalujaan säilyttäen samalla tehokas tartuntaketju.
Jatkuvien työkalupäivitysten vaikutukset
OtterCookien ja sen päivitettyjen muunnelmien esittely osoittaa, että tarttuva haastattelu -kampanja ei suinkaan ole pysähtynyt. Uhkatoimijat vahvistavat kampanjan jatkuvaa menestystä ja sopeutumiskykyä aavistamattomien uhrien kohdistamisessa parantamalla haittaohjelmaominaisuuksiaan jättäen hyökkäysmetodologiansa suurelta osin ennalleen.
