OtterCookie 맬웨어
Contagious Interview 캠페인과 관련된 북한 사이버 행위자들이 OtterCookie라는 새로운 JavaScript 기반 위협을 도입했습니다. DeceptiveDevelopment라고도 알려진 이 캠페인은 정교한 사회 공학 전술을 사용하여 합법적인 도구나 상호 작용의 모습으로 위협적인 소프트웨어를 제공합니다.
목차
전염성 인터뷰의 핵심인 사회공학
Contagious Interview 캠페인은 소셜 엔지니어링에 크게 의존하며, 공격자는 채용 담당자로 가장합니다. 그들은 일자리를 찾는 개인을 악용하여 조작된 인터뷰 과정에서 악의적인 소프트웨어를 다운로드하도록 유인합니다. 이는 GitHub 또는 공식 패키지 레지스트리와 같은 플랫폼에서 호스팅되는 손상된 화상 회의 애플리케이션 또는 npm 패키지를 배포하여 달성됩니다. 이러한 방법을 통해 BeaverTail 및 InvisibleFerret과 같은 맬웨어 패밀리를 배포할 수 있었습니다.
위협 추적
2023년 11월에 이 활동을 처음 기록한 보안 연구원들은 식별자 CL-STA-0240으로 캠페인을 추적했습니다. 이 해킹 그룹은 Famous Chollima 및 Tenacious Pungsan과 같은 별칭으로도 불립니다. 2024년 9월까지 연구원들은 BeaverTail의 진화된 버전을 포함하여 공격 체인에 대한 중요한 업데이트를 발견했습니다. 이 업데이트는 모듈식 기능을 도입하여 CivetQ라는 이름의 Python 스크립트에 데이터 도난 작업을 위임했습니다.
Operation Dream Job과의 차이점
직업과 관련된 또 다른 북한 사이버 캠페인인 Operation Dream Job과 유사함에도 불구하고, Contagious Interview는 여전히 독특합니다. 두 캠페인 모두 직업을 주제로 한 미끼를 사용하지만, 감염 방법론과 툴셋은 다릅니다. 이는 북한 위협 행위자들이 피해자를 표적으로 삼는 데 사용하는 다양한 접근 방식을 강조합니다.
업데이트된 공격 체인에서 OtterCookie의 역할
최근의 조사 결과에 따르면 OtterCookie는 Contagious Interview 무기고에서 중요한 구성 요소로 강조되었습니다. 2024년 9월에 도입된 이 맬웨어는 BeaverTail과 함께 작동하여 명령 및 제어(C2) 서버를 통해 페이로드를 가져오고 실행합니다. OtterCookie는 Socket.IO JavaScript 라이브러리를 사용하여 셸 명령을 실행하여 파일, 클립보드 콘텐츠 및 암호화폐 지갑 키와 같은 민감한 데이터를 빼낼 수 있습니다.
진화하는 역량: OtterCookie 변형
OtterCookie의 초기 버전은 코드베이스 내에 직접적인 암호화폐 지갑 키 도난 메커니즘을 통합했습니다. 그러나 2024년 후반에 감지된 수정된 변형은 이 기능을 셸 명령을 통한 원격 실행으로 전환했습니다. 이러한 적응은 공격자가 효과적인 감염 체인을 유지하면서 도구를 개선하려는 지속적인 노력을 보여줍니다.
지속적인 도구 업데이트의 의미
OtterCookie와 업데이트된 변형의 도입은 Contagious Interview 캠페인이 정체되지 않았다는 것을 보여줍니다. 공격 방법론을 크게 변경하지 않고 맬웨어 기능을 강화함으로써 위협 행위자는 의심하지 않는 피해자를 표적으로 삼는 캠페인의 지속적인 성공과 적응성을 확인합니다.
