OtterCookie Malware
Nordkoreanske cyberaktører knyttet til Contagious Interview-kampanjen har introdusert en ny JavaScript-basert trussel ved navn OtterCookie. Denne kampanjen, også kjent som DeceptiveDevelopment, bruker sofistikerte taktikker for sosial ingeniørkunst for å levere truende programvare under dekke av legitime verktøy eller interaksjoner.
Innholdsfortegnelse
Sosialteknikk i kjernen av smittsomt intervju
Smittsomt intervju-kampanjen er sterkt avhengig av sosial ingeniørkunst, med angriperne som utgir seg for å rekruttere. De utnytter enkeltpersoner som søker jobbmuligheter, og lokker dem til å laste ned ondsinnet programvare under en fabrikkert intervjuprosess. Dette oppnås gjennom distribusjon av kompromitterte videokonferanseapplikasjoner eller npm-pakker som er vert på plattformer som GitHub eller offisielle pakkeregistre. Slike metoder har muliggjort distribusjon av skadevarefamilier som BeaverTail og InvisibleFerret.
Spore trusselen
Sikkerhetsforskere, som først dokumenterte denne aktiviteten i november 2023, har sporet kampanjen under identifikatoren CL-STA-0240. Hacking-gruppen omtales også av aliaser som Famous Chollima og Tenacious Pungsan. I september 2024 avdekket forskere betydelige oppdateringer til angrepskjeden, inkludert en utviklet versjon av BeaverTail. Denne oppdateringen introduserte modulære funksjoner, og delegerte datatyverioperasjonene til Python-skript samlet kalt CivetQ.
Skille fra Operation Dream Job
Til tross for likhetene med Operation Dream Job, en annen jobbrelatert nordkoreansk cyberkampanje, forblir Contagious Interview distinkt. Begge kampanjene bruker lokkefugler med jobbtema, men deres infeksjonsmetodikk og verktøysett er forskjellige. Dette understreker de varierte tilnærmingene nordkoreanske trusselaktører bruker for å målrette mot ofre.
OtterCookies rolle i den oppdaterte angrepskjeden
Nylige funn har fremhevet OtterCookie som en kritisk komponent i arsenalet for smitteintervjuer. Skadevaren, introdusert i september 2024, opererer i tandem med BeaverTail, og henter og kjører nyttelasten via en Command-and-Control-server (C2). Ved å bruke Socket.IO JavaScript-biblioteket kan OtterCookie utføre skallkommandoer for å eksfiltrere sensitive data som filer, utklippstavleinnhold og cryptocurrency lommeboknøkler.
Utviklende evner: OtterCookie-varianter
Den første versjonen av OtterCookie inkorporerte en direkte nøkkeltyverimekanisme for kryptovaluta-lommebok i kodebasen. En revidert variant, oppdaget i slutten av 2024, flyttet imidlertid denne funksjonen til ekstern kjøring via skallkommandoer. Denne tilpasningen illustrerer angripernes pågående innsats for å forbedre verktøyene sine samtidig som de opprettholder en effektiv smittekjede.
Implikasjoner av kontinuerlige verktøyoppdateringer
Introduksjonen av OtterCookie og dens oppdaterte varianter viser at Contagious Interview-kampanjen er langt fra stillestående. Ved å forbedre deres malware-kapasitet mens de lar angrepsmetodikken deres stort sett være uendret, bekrefter trusselaktørene kampanjens fortsatte suksess og tilpasningsevne når det gjelder målretting mot intetanende ofre.
