OtterCookie ļaunprātīga programmatūra
Ziemeļkorejas kiberaktieri, kas saistīti ar kampaņu Contagious Interview, ir ieviesuši jaunu JavaScript balstītu draudu OtterCookie. Šajā kampaņā, kas pazīstama arī kā DeceptiveDevelopment, tiek izmantota sarežģīta sociālās inženierijas taktika, lai piegādātu draudošu programmatūru likumīgu rīku vai mijiedarbības aizsegā.
Satura rādītājs
Sociālā inženierija lipīgās intervijas pamatā
Kampaņa Contagious Interview lielā mērā balstās uz sociālo inženieriju, uzbrucējiem uzdodoties par vervētājiem. Viņi izmanto personas, kas meklē darba iespējas, izdomātas intervijas laikā vilinot tās lejupielādēt ļaunprātīgu programmatūru. Tas tiek panākts, izplatot apdraudētas videokonferenču lietojumprogrammas vai npm pakotnes, kas tiek mitinātas tādās platformās kā GitHub vai oficiālajos pakotņu reģistros. Šādas metodes ir ļāvušas izvietot ļaunprātīgas programmatūras ģimenes, piemēram, BeaverTail un InvisibleFerret.
Draudu izsekošana
Drošības pētnieki, kuri pirmo reizi dokumentēja šo darbību 2023. gada novembrī, ir izsekojuši kampaņu ar identifikatoru CL-STA-0240. Uzlaušanas grupa tiek apzīmēta arī ar tādiem aizstājvārdiem kā Famous Chollima un Tenacious Pungsan. Līdz 2024. gada septembrim pētnieki atklāja nozīmīgus uzbrukuma ķēdes atjauninājumus, tostarp BeaverTail izstrādāto versiju. Šis atjauninājums ieviesa modulāras iespējas, deleģējot savas datu zādzības darbības Python skriptiem, kas kopīgi nosaukti CivetQ.
Atšķirība no operācijas Dream Job
Neskatoties uz līdzībām ar operāciju Dream Job, citu ar darbu saistītu Ziemeļkorejas kiberkampaņu, Contagious Interview joprojām ir atšķirīga. Abās kampaņās tiek izmantoti ar darbu saistīti mānekļi, taču to inficēšanās metodes un rīku komplekti atšķiras. Tas uzsver dažādās pieejas, ko Ziemeļkorejas draudu dalībnieki izmanto, lai mērķētu uz upuriem.
OtterCookie loma atjauninātajā uzbrukuma ķēdē
Jaunākie atklājumi ir izcēluši OtterCookie kā kritisku sastāvdaļu Contagious Interview arsenālā. Ļaunprātīgā programmatūra, kas tika ieviesta 2024. gada septembrī, darbojas kopā ar BeaverTail, ienesot un izpildot savu lietderīgo slodzi, izmantojot Command-and-Control (C2) serveri. Izmantojot Socket.IO JavaScript bibliotēku, OtterCookie var izpildīt čaulas komandas, lai izfiltrētu sensitīvus datus, piemēram, failus, starpliktuves saturu un kriptovalūtas maka atslēgas.
Attīstās iespējas: OtterCookie varianti
Sākotnējā OtterCookie versija savā kodu bāzē iekļāva tiešu kriptovalūtas maka atslēgu nozagšanas mehānismu. Tomēr pārskatītajā variantā, kas tika atklāts 2024. gada beigās, šī funkcija tika pārvietota uz attālo izpildi, izmantojot čaulas komandas. Šis pielāgojums ilustrē uzbrucēju pastāvīgos centienus uzlabot savus rīkus, vienlaikus saglabājot efektīvu infekcijas ķēdi.
Nepārtrauktas rīku atjaunināšanas sekas
OtterCookie un tā atjaunināto variantu ieviešana parāda, ka kampaņa Contagious Interview nebūt nav apstājusies. Uzlabojot savas ļaunprātīgās programmatūras iespējas, vienlaikus atstājot uzbrukuma metodiku lielā mērā nemainīgu, draudu dalībnieki apliecina kampaņas pastāvīgos panākumus un spēju pielāgoties, mērķējot uz nenojaušajiem upuriem.
