Zlonamjerni softver OtterCookie
Sjevernokorejski cyber akteri povezani s kampanjom Contagious Interview predstavili su novu prijetnju temeljenu na JavaScriptu pod nazivom OtterCookie. Ova kampanja, također poznata kao DeceptiveDevelopment, koristi sofisticirane taktike društvenog inženjeringa za isporuku prijetećeg softvera pod krinkom legitimnih alata ili interakcija.
Sadržaj
Društveni inženjering u srži zaraznog intervjua
Kampanja Contagious Interview uvelike se oslanja na društveni inženjering, a napadači se predstavljaju kao regruteri. Oni iskorištavaju pojedince koji traže prilike za posao, namamljujući ih na preuzimanje zlonamjernog softvera tijekom izmišljenog procesa intervjua. To se postiže distribucijom kompromitiranih aplikacija za videokonferencije ili npm paketa koji se nalaze na platformama kao što je GitHub ili službenim registrima paketa. Takve metode omogućile su implementaciju obitelji zlonamjernog softvera kao što su BeaverTail i InvisibleFerret.
Traženje prijetnje
Sigurnosni istraživači, koji su prvi dokumentirali ovu aktivnost u studenom 2023., pratili su kampanju pod identifikatorom CL-STA-0240. Hakerska skupina se također naziva i aliasima kao što su Famous Chollima i Tenacious Pungsan. Do rujna 2024. istraživači su otkrili značajna ažuriranja lanca napada, uključujući razvijenu verziju BeaverTaila. Ovo ažuriranje uvelo je modularne mogućnosti, delegirajući svoje operacije krađe podataka na Python skripte pod zajedničkim nazivom CivetQ.
Razlika od operacije Posao iz snova
Unatoč sličnostima s operacijom Posao iz snova, još jednom sjevernokorejskom cyber kampanjom povezanom s poslom, Contagious Interview ostaje različit. Obje kampanje koriste mamce na temu posla, ali njihove metodologije zaraze i skupovi alata razlikuju se. Ovo naglašava različite pristupe koje sjevernokorejski akteri prijetnje koriste za ciljanje žrtava.
Uloga OtterCookieja u ažuriranom lancu napada
Nedavna otkrića istaknula su OtterCookie kao kritičnu komponentu u arsenalu zaraznih intervjua. Zlonamjerni softver, predstavljen u rujnu 2024., radi u tandemu s BeaverTailom, dohvaćajući i izvršavajući njegov korisni teret putem Command-and-Control (C2) poslužitelja. Koristeći Socket.IO JavaScript biblioteku, OtterCookie može izvršavati naredbe ljuske za eksfiltraciju osjetljivih podataka kao što su datoteke, sadržaj međuspremnika i ključevi novčanika kriptovalute.
Mogućnosti u razvoju: varijante OtterCookie
Početna verzija OtterCookiea uključivala je izravni mehanizam krađe ključeva novčanika kriptovalute unutar svoje baze kodova. Međutim, revidirana varijanta, otkrivena krajem 2024., prebacila je ovu značajku na daljinsko izvršavanje putem naredbi ljuske. Ova prilagodba ilustrira stalne napore napadača da poboljšaju svoje alate uz održavanje učinkovitog lanca infekcije.
Posljedice kontinuiranog ažuriranja alata
Uvođenje OtterCookie i njegovih ažuriranih varijanti pokazuje da je kampanja Contagious Interview daleko od stagnacije. Poboljšanjem svojih mogućnosti zlonamjernog softvera, a ostavljajući svoju metodologiju napada uglavnom nepromijenjenom, akteri prijetnji potvrđuju kontinuirani uspjeh i prilagodljivost kampanje u ciljanju na žrtve koje ništa ne sumnjaju.
