OtterCookie Malware
שחקני סייבר צפון קוריאנים המקושרים לקמפיין ה-Contagious Interview הציגו איום חדש מבוסס JavaScript בשם OtterCookie. מסע פרסום זה, הידוע גם בשם DeceptiveDevelopment, משתמש בטקטיקות מתוחכמות של הנדסה חברתית כדי לספק תוכנה מאיימת במסווה של כלים או אינטראקציות לגיטימיות.
תוכן העניינים
הנדסה חברתית בליבת ראיון מדבק
קמפיין הראיונות המדבקים מסתמך במידה רבה על הנדסה חברתית, כאשר התוקפים מתחזים למגייסים. הם מנצלים אנשים המחפשים הזדמנויות עבודה, ומפתים אותם להוריד תוכנה זדונית במהלך תהליך ראיון מפוברק. זה מושג באמצעות הפצה של יישומי ועידת וידיאו שנפגעו או חבילות npm המתארחות בפלטפורמות כמו GitHub או רישום חבילות רשמי. שיטות כאלה אפשרו את הפריסה של משפחות תוכנות זדוניות כמו BeaverTail ו-InvisibleFerret.
מעקב אחר האיום
חוקרי אבטחה, שתיעדו פעילות זו לראשונה בנובמבר 2023, עקבו אחר הקמפיין תחת המזהה CL-STA-0240. קבוצת הפריצה מכונה גם על ידי כינויים כמו ה-Famous Chollima וה-Tenacious Pungsan. עד ספטמבר 2024, חוקרים חשפו עדכונים משמעותיים לשרשרת ההתקפה, כולל גרסה מפותחת של BeaverTail. עדכון זה הציג יכולות מודולריות, והאציל את פעולות גניבת הנתונים שלו לסקריפטים של Python שנקראים ביחד CivetQ.
הבחנה ממבצע חלום ג’וב
למרות קווי הדמיון שלו למבצע החלומות, עוד קמפיין סייבר צפון קוריאני הקשור לעבודה, ראיון מדבק נשאר מובחן. שני הקמפיינים מפעילים פתיונות בנושאי עבודה, אך מתודולוגיות ההדבקה וערכות הכלים שלהם שונות. זה מדגיש את הגישות המגוונות שגורמי האיומים הצפון קוריאנים משתמשים כדי להתמקד בקורבנות.
תפקידו של OtterCookie בשרשרת ההתקפה המעודכנת
ממצאים אחרונים הדגישו את OtterCookie כמרכיב קריטי בארסנל הראיונות המדבקים. התוכנה הזדונית, שהוצגה בספטמבר 2024, פועלת במקביל ל-BeaverTail, מאחזרת ומבצעת את המטען שלה באמצעות שרת Command-and-Control (C2). באמצעות ספריית ה-JavaScript Socket.IO, OtterCookie יכול לבצע פקודות מעטפת כדי לסנן נתונים רגישים כגון קבצים, תוכן לוח ומפתחות ארנק קריפטו.
יכולות מתפתחות: גרסאות OtterCookie
הגרסה הראשונית של OtterCookie שילבה מנגנון גניבת מפתח ישיר של ארנק מטבע קריפטוגרפי בתוך בסיס הקוד שלה. עם זאת, גרסה מתוקנת, שזוהתה בסוף 2024, העבירה תכונה זו לביצוע מרחוק באמצעות פקודות מעטפת. התאמה זו ממחישה את המאמצים המתמשכים של התוקפים לחדד את הכלים שלהם תוך שמירה על שרשרת זיהום יעילה.
השלכות של עדכוני כלים מתמשכים
ההקדמה של OtterCookie והגרסאות המעודכנות שלה מוכיחות שמסע הפרסום של ראיונות מדבקים רחוק מלהיות עומד. על ידי שיפור יכולות התוכנות הזדוניות שלהם תוך השארת מתודולוגיית ההתקפה שלהם ללא שינוי, גורמי האיום מאשרים את המשך הצלחתו ויכולת ההסתגלות של הקמפיין במיקוד לקורבנות תמימים.
