„OtterCookie“ kenkėjiška programa
Šiaurės Korėjos kibernetiniai veikėjai, susiję su „Contagious Interview“ kampanija, pristatė naują JavaScript pagrįstą grėsmę, pavadintą OtterCookie. Šioje kampanijoje, dar vadinamoje DeceptiveDevelopment, naudojama sudėtinga socialinės inžinerijos taktika, siekiant pateikti grėsmingą programinę įrangą, prisidengiant teisėtais įrankiais ar sąveika.
Turinys
Socialinė inžinerija užkrečiamojo interviu centre
Užkrečiamojo interviu kampanija labai priklauso nuo socialinės inžinerijos, o užpuolikai prisistato verbuotojais. Jie išnaudoja asmenis, ieškančius darbo galimybių, per sugalvotą pokalbio procesą priviliodami juos atsisiųsti kenkėjišką programinę įrangą. Tai pasiekiama platinant pažeistas vaizdo konferencijų programas arba npm paketus, esančius tokiose platformose kaip „GitHub“ arba oficialiuose paketų registruose. Tokie metodai leido įdiegti kenkėjiškų programų šeimas, tokias kaip BeaverTail ir InvisibleFerret.
Grėsmės sekimas
Saugumo tyrinėtojai, pirmą kartą dokumentavę šią veiklą 2023 m. lapkričio mėn., kampaniją stebėjo naudodami identifikatorių CL-STA-0240. Įsilaužimų grupė taip pat vadinama slapyvardžiais, tokiais kaip Famous Chollima ir Tenacious Pungsan. Iki 2024 m. rugsėjo mėn. mokslininkai aptiko reikšmingų atakų grandinės atnaujinimų, įskaitant patobulintą „BeaverTail“ versiją. Šis naujinimas pristatė modulines galimybes, perduodant duomenų vagystės operacijas Python scenarijus, bendrai pavadintus CivetQ.
Skirtumas nuo operacijos „Svajonių darbas“.
Nepaisant panašumų su operacija „Svajonių darbas“, kita su darbu susijusia Šiaurės Korėjos kibernetinė kampanija, „Contagious Interview“ išlieka skirtinga. Abiejose kampanijose naudojami darbo tematikos masalai, tačiau jų infekcijos metodikos ir įrankių rinkiniai skiriasi. Tai pabrėžia įvairius Šiaurės Korėjos grėsmių subjektų metodus, kuriais siekiama nukreipti į aukas.
OtterCookie vaidmuo atnaujintoje atakų grandinėje
Naujausi išvados išryškino „OtterCookie“ kaip svarbų „Contagious Interview“ arsenalo komponentą. Kenkėjiška programa, pristatyta 2024 m. rugsėjo mėn., veikia kartu su „BeaverTail“, gaudama ir vykdydama savo naudingąją apkrovą per komandų ir valdymo (C2) serverį. Naudodama Socket.IO JavaScript biblioteką, OtterCookie gali vykdyti apvalkalo komandas, kad išfiltruotų slaptus duomenis, pvz., failus, mainų srities turinį ir kriptovaliutų piniginės raktus.
Tobulėjančios galimybės: „OtterCookie“ variantai
Pradinėje OtterCookie versijoje į savo kodų bazę buvo įtrauktas tiesioginis kriptovaliutos piniginės rakto vagystės mechanizmas. Tačiau peržiūrėtas variantas, aptiktas 2024 m. pabaigoje, perkėlė šią funkciją į nuotolinį vykdymą naudojant apvalkalo komandas. Šis pritaikymas iliustruoja nuolatines užpuolikų pastangas tobulinti savo įrankius išlaikant veiksmingą infekcijos grandinę.
Nuolatinių įrankių atnaujinimų pasekmės
„OtterCookie“ ir atnaujintų jos variantų pristatymas rodo, kad „Contagious Interview“ kampanija toli gražu nėra sustingusi. Padidindami savo kenkėjiškų programų galimybes ir palikdami beveik nepakitusią atakų metodiką, grėsmės veikėjai patvirtina, kad kampanija tęsiasi sėkmingai ir prisitaiko prie nieko neįtariančių aukų.
