OtterCookie Malware
Pelakon siber Korea Utara yang dikaitkan dengan kempen Wawancara Berjangkit telah memperkenalkan ancaman berasaskan JavaScript baharu bernama OtterCookie. Kempen ini, juga dikenali sebagai DeceptiveDevelopment, menggunakan taktik kejuruteraan sosial yang sofistikated untuk menyampaikan perisian yang mengancam di bawah samaran alat atau interaksi yang sah.
Isi kandungan
Kejuruteraan Sosial di Teras Temuduga Berjangkit
Kempen Wawancara Berjangkit sangat bergantung pada kejuruteraan sosial, dengan penyerang menyamar sebagai perekrut. Mereka mengeksploitasi individu yang mencari peluang pekerjaan, memikat mereka untuk memuat turun perisian jahat semasa proses temu duga yang direka-reka. Ini dicapai melalui pengedaran aplikasi persidangan video yang terjejas atau pakej npm yang dihoskan pada platform seperti GitHub atau pendaftaran pakej rasmi. Kaedah sedemikian telah membolehkan penggunaan keluarga perisian hasad seperti BeaverTail dan InvisibleFerret.
Mengesan Ancaman
Penyelidik keselamatan, yang mula-mula mendokumentasikan aktiviti ini pada November 2023, telah menjejaki kempen di bawah pengecam CL-STA-0240. Kumpulan penggodaman itu juga dirujuk dengan alias seperti Chollima Terkenal dan Pungsan Tenang. Menjelang September 2024, penyelidik menemui kemas kini penting pada rantaian serangan, termasuk versi BeaverTail yang telah berubah. Kemas kini ini memperkenalkan keupayaan modular, menyerahkan operasi kecurian datanya kepada skrip Python yang secara kolektif dinamakan CivetQ.
Perbezaan dari Operation Dream Job
Walaupun persamaannya dengan Operation Dream Job, satu lagi kempen siber Korea Utara berkaitan pekerjaan, Contagious Interview tetap berbeza. Kedua-dua kempen menggunakan umpan bertema pekerjaan, tetapi metodologi jangkitan dan set alatan mereka berbeza. Ini menggariskan pelbagai pendekatan yang digunakan oleh aktor ancaman Korea Utara untuk menyasarkan mangsa.
Peranan OtterCookie dalam Rantaian Serangan yang Dikemas kini
Penemuan terbaru telah menyerlahkan OtterCookie sebagai komponen kritikal dalam senjata Temuduga Berjangkit. Perisian hasad, yang diperkenalkan pada September 2024, beroperasi seiring dengan BeaverTail, mengambil dan melaksanakan muatannya melalui pelayan Command-and-Control (C2). Menggunakan pustaka JavaScript Socket.IO, OtterCookie boleh melaksanakan perintah shell untuk mengeluarkan data sensitif seperti fail, kandungan papan keratan dan kekunci dompet mata wang kripto.
Keupayaan Berkembang: Varian OtterCookie
Versi awal OtterCookie menggabungkan mekanisme kecurian kunci dompet cryptocurrency langsung dalam pangkalan kodnya. Walau bagaimanapun, varian yang disemak, dikesan pada akhir 2024, mengalihkan ciri ini kepada pelaksanaan jauh melalui arahan shell. Penyesuaian ini menggambarkan usaha berterusan penyerang untuk memperhalusi alat mereka sambil mengekalkan rantaian jangkitan yang berkesan.
Implikasi Kemas Kini Alat Berterusan
Pengenalan OtterCookie dan variannya yang dikemas kini menunjukkan bahawa kempen Temu Bual Berjangkit jauh daripada stagnan. Dengan meningkatkan keupayaan perisian hasad mereka sambil membiarkan metodologi serangan mereka sebahagian besarnya tidak berubah, pelaku ancaman mengesahkan kejayaan berterusan dan kebolehsuaian kempen dalam menyasarkan mangsa yang tidak curiga.
