OtterCookie rosszindulatú program
A Contagious Interview kampányhoz kapcsolódó észak-koreai kiberszereplők egy új JavaScript-alapú fenyegetést vezettek be, az OtterCookie nevet. Ez a kampány, más néven DeceptiveDevelopment, kifinomult social engineering taktikákat alkalmaz, hogy fenyegető szoftvereket szállítson legitim eszközök vagy interakciók leple alatt.
Tartalomjegyzék
Social Engineering a fertőző interjú magjában
A Contagious Interview kampány nagymértékben támaszkodik a szociális manipulációra, a támadók toborzónak adják ki magukat. Kizsákmányolják a munkalehetőséget kereső egyéneket, és ráveszik őket, hogy rosszindulatú szoftvereket töltsenek le egy kitalált interjú során. Ez a kompromittált videokonferencia-alkalmazások vagy az olyan platformokon tárolt npm-csomagok terjesztésével érhető el, mint a GitHub vagy a hivatalos csomag-nyilvántartások. Az ilyen módszerek lehetővé tették a rosszindulatú programcsaládok, például a BeaverTail és az InvisibleFerret telepítését.
A fenyegetés nyomon követése
A biztonsági kutatók, akik először 2023 novemberében dokumentálták ezt a tevékenységet, a kampányt a CL-STA-0240 azonosítóval követték nyomon. A hackercsoportot olyan álnevekkel is emlegetik, mint a Famous Chollima és a Tenacious Pungsan. 2024 szeptemberére a kutatók jelentős frissítéseket fedeztek fel a támadási láncban, köztük a BeaverTail továbbfejlesztett változatát. Ez a frissítés moduláris képességeket vezetett be, és az adatlopási műveleteket a Python-szkriptekre delegálta, amelyek együttes elnevezése CivetQ.
Megkülönböztetés a Dream Job művelettől
Annak ellenére, hogy hasonlóak az Operation Dream Jobhoz, egy másik, munkával kapcsolatos észak-koreai kiberkampányhoz, a Contagious Interview továbbra is különbözik. Mindkét kampányban munka témájú csaliket alkalmaznak, de fertőzési módszereik és eszközkészletük eltér egymástól. Ez alátámasztja, hogy az észak-koreai fenyegetés szereplői milyen változatos megközelítéseket alkalmaznak az áldozatok megcélzására.
OtterCookie szerepe a frissített támadási láncban
A legújabb eredmények rávilágítottak az OtterCookie-ra, mint a Contagious Interview arzenáljának kritikus elemére. A 2024 szeptemberében bemutatott rosszindulatú program a BeaverTail-lel párhuzamosan működik, egy Command-and-Control (C2) szerveren keresztül tölti le és hajtja végre a rakományát. A Socket.IO JavaScript-könyvtár használatával az OtterCookie shell-parancsokat hajthat végre, hogy kiszűrje az olyan érzékeny adatokat, mint a fájlok, a vágólap tartalma és a kriptovaluta pénztárca kulcsai.
Fejlődő képességek: OtterCookie-változatok
Az OtterCookie kezdeti verziója közvetlen kriptovaluta pénztárcakulcs-lopási mechanizmust tartalmazott a kódbázisában. Egy 2024 végén észlelt felülvizsgált változat azonban ezt a funkciót a shell-parancsokon keresztül történő távoli végrehajtásra helyezte át. Ez az adaptáció szemlélteti a támadók folyamatos erőfeszítéseit eszközeik finomítására, miközben fenntartják a hatékony fertőzési láncot.
A folyamatos eszközfrissítés következményei
Az OtterCookie és frissített változatainak bemutatása azt mutatja, hogy a Fertőző interjú kampány korántsem stagnál. Azáltal, hogy fokozzák a rosszindulatú programokkal kapcsolatos képességeiket, miközben nagyrészt változatlan támadási módszereiket hagyják, a fenyegetés szereplői megerősítik a kampány folyamatos sikerét és alkalmazkodóképességét a gyanútlan áldozatok megcélzásában.
