OtterCookie Malware
संक्रामक साक्षात्कार अभियान से जुड़े उत्तर कोरियाई साइबर अभिनेताओं ने ओटरकुकी नामक एक नया जावास्क्रिप्ट-आधारित खतरा पेश किया है। यह अभियान, जिसे भ्रामक विकास के रूप में भी जाना जाता है, वैध उपकरणों या इंटरैक्शन की आड़ में धमकी भरे सॉफ़्टवेयर वितरित करने के लिए परिष्कृत सामाजिक इंजीनियरिंग रणनीति का उपयोग करता है।
विषयसूची
संक्रामक साक्षात्कार के मूल में सामाजिक इंजीनियरिंग
संक्रामक साक्षात्कार अभियान सोशल इंजीनियरिंग पर बहुत अधिक निर्भर करता है, जिसमें हमलावर भर्तीकर्ता के रूप में खुद को पेश करते हैं। वे नौकरी के अवसर चाहने वाले व्यक्तियों का शोषण करते हैं, उन्हें एक मनगढ़ंत साक्षात्कार प्रक्रिया के दौरान दुर्भावनापूर्ण सॉफ़्टवेयर डाउनलोड करने के लिए लुभाते हैं। यह GitHub या आधिकारिक पैकेज रजिस्ट्री जैसे प्लेटफ़ॉर्म पर होस्ट किए गए समझौता किए गए वीडियोकॉन्फ़्रेंसिंग एप्लिकेशन या npm पैकेज के वितरण के माध्यम से प्राप्त किया जाता है। इस तरह के तरीकों ने बीवरटेल और इनविजिबलफेरेट जैसे मैलवेयर परिवारों की तैनाती को सक्षम किया है।
खतरे का पता लगाना
सुरक्षा शोधकर्ताओं, जिन्होंने नवंबर 2023 में इस गतिविधि का सबसे पहले दस्तावेजीकरण किया था, ने पहचानकर्ता CL-STA-0240 के तहत अभियान को ट्रैक किया है। हैकिंग समूह को फेमस चोलिमा और टेनेशियस पुंगसन जैसे उपनामों से भी जाना जाता है। सितंबर 2024 तक, शोधकर्ताओं ने हमले की श्रृंखला में महत्वपूर्ण अपडेट का खुलासा किया, जिसमें बीवरटेल का एक विकसित संस्करण भी शामिल है। इस अपडेट ने मॉड्यूलर क्षमताओं को पेश किया, इसके डेटा-चोरी संचालन को सामूहिक रूप से सिवेटक्यू नामक पायथन स्क्रिप्ट को सौंप दिया।
ऑपरेशन ड्रीम जॉब से विशिष्टता
उत्तर कोरिया के एक अन्य नौकरी-संबंधी साइबर अभियान, ऑपरेशन ड्रीम जॉब से समानताओं के बावजूद, कॉन्टेगियस इंटरव्यू अलग है। दोनों ही अभियान नौकरी-थीम वाले प्रलोभनों का इस्तेमाल करते हैं, लेकिन उनके संक्रमण के तरीके और टूलसेट अलग-अलग हैं। यह उत्तर कोरिया के ख़तरनाक अभिनेताओं द्वारा पीड़ितों को निशाना बनाने के लिए इस्तेमाल किए जाने वाले विभिन्न तरीकों को रेखांकित करता है।
अपडेटेड अटैक चेन में ओटरकुकी की भूमिका
हाल ही में किए गए निष्कर्षों ने ओटरकुकी को संक्रामक साक्षात्कार शस्त्रागार में एक महत्वपूर्ण घटक के रूप में उजागर किया है। सितंबर 2024 में पेश किया गया मैलवेयर, बीवरटेल के साथ मिलकर काम करता है, कमांड-एंड-कंट्रोल (C2) सर्वर के माध्यम से अपने पेलोड को प्राप्त करता है और निष्पादित करता है। सॉकेट.आईओ जावास्क्रिप्ट लाइब्रेरी का उपयोग करके, ओटरकुकी संवेदनशील डेटा जैसे कि फ़ाइलें, क्लिपबोर्ड सामग्री और क्रिप्टोक्यूरेंसी वॉलेट कुंजियों को बाहर निकालने के लिए शेल कमांड निष्पादित कर सकता है।
विकसित होती क्षमताएँ: ओटरकुकी वेरिएंट
ओटरकुकी के शुरुआती संस्करण में इसके कोडबेस के भीतर एक प्रत्यक्ष क्रिप्टोक्यूरेंसी वॉलेट कुंजी चोरी तंत्र शामिल था। हालाँकि, 2024 के अंत में पता चला एक संशोधित संस्करण ने इस सुविधा को शेल कमांड के माध्यम से दूरस्थ निष्पादन में स्थानांतरित कर दिया। यह अनुकूलन एक प्रभावी संक्रमण श्रृंखला को बनाए रखते हुए अपने उपकरणों को परिष्कृत करने के लिए हमलावरों के चल रहे प्रयासों को दर्शाता है।
निरंतर टूल अपडेट के निहितार्थ
ओटरकुकी और इसके अपडेटेड वेरिएंट की शुरूआत से पता चलता है कि संक्रामक साक्षात्कार अभियान स्थिर होने से बहुत दूर है। अपनी मैलवेयर क्षमताओं को बढ़ाते हुए और अपने हमले की कार्यप्रणाली को काफी हद तक अपरिवर्तित रखते हुए, खतरे के कारक अभियान की निरंतर सफलता और अप्रत्याशित पीड़ितों को लक्षित करने में अनुकूलनशीलता की पुष्टि करते हैं।
