OtterCookie मालवेयर

संक्रामक अन्तर्वार्ता अभियानसँग जोडिएका उत्तर कोरियाली साइबर अभिनेताहरूले OtterCookie नामको नयाँ JavaScript-आधारित खतरा प्रस्तुत गरेका छन्। यो अभियान, जसलाई DeceptiveDevelopment पनि भनिन्छ, वैध उपकरण वा अन्तरक्रियाको आडमा धम्की दिने सफ्टवेयर डेलिभर गर्न परिष्कृत सामाजिक इन्जिनियरिङ रणनीतिहरू प्रयोग गर्दछ।

संक्रामक अन्तर्वार्ताको कोरमा सामाजिक ईन्जिनियरिङ्

संक्रामक अन्तर्वार्ता अभियान सामाजिक ईन्जिनियरिङ् मा धेरै निर्भर गर्दछ, आक्रमणकारीहरु भर्तीकर्ता को रूप मा प्रस्तुत संग। तिनीहरूले जागिरका अवसरहरू खोज्ने व्यक्तिहरूको शोषण गर्छन्, उनीहरूलाई बनावटी अन्तर्वार्ता प्रक्रियाको क्रममा खराब सफ्टवेयर डाउनलोड गर्न प्रलोभन दिन्छ। यो GitHub वा आधिकारिक प्याकेज रजिस्ट्रीहरू जस्ता प्लेटफर्महरूमा होस्ट गरिएका सम्झौता गरिएका भिडियो कन्फरेन्सिङ अनुप्रयोगहरू वा npm प्याकेजहरूको वितरण मार्फत हासिल गरिन्छ। त्यस्ता विधिहरूले BeaverTail र InvisibleFerret जस्ता मालवेयर परिवारहरूको तैनाती सक्षम पारेको छ।

धम्की ट्रेसिङ

सुरक्षा अनुसन्धानकर्ताहरू, जसले नोभेम्बर 2023 मा यस गतिविधिलाई पहिलो पटक दस्तावेज गरेका थिए, पहिचानकर्ता CL-STA-0240 अन्तर्गत अभियानलाई ट्र्याक गरेका छन्। ह्याकिङ समूहलाई फेमस चोलिमा र टेनेसियस पङ्सान जस्ता उपनामहरू पनि भनिन्छ। सेप्टेम्बर 2024 सम्म, अनुसन्धानकर्ताहरूले BeaverTail को विकसित संस्करण सहित आक्रमण श्रृंखलामा महत्त्वपूर्ण अपडेटहरू पत्ता लगाए। यस अपडेटले मोड्युलर क्षमताहरू प्रस्तुत गर्‍यो, यसको डाटा-चोरी कार्यहरू पाइथन स्क्रिप्टहरूलाई सामूहिक रूपमा CivetQ नाम दिइयो।

अपरेशन ड्रीम जॉबबाट भिन्नता

अपरेशन ड्रीम जॉब, अर्को रोजगारीसँग सम्बन्धित उत्तर कोरियाली साइबर अभियानसँग मिल्दोजुल्दो भए तापनि, संक्रामक अन्तर्वार्ता फरक रहन्छ। दुबै अभियानहरूले काम-थीम्ड डेकोइहरू प्रयोग गर्छन्, तर तिनीहरूको संक्रमण विधि र उपकरणहरू भिन्न हुन्छन्। यसले उत्तर कोरियाली धम्की कलाकारहरूले पीडितहरूलाई लक्षित गर्न प्रयोग गर्ने विभिन्न दृष्टिकोणहरूलाई जोड दिन्छ।

अपडेट गरिएको आक्रमण श्रृंखलामा ओटरकुकीको भूमिका

हालका खोजहरूले ओटरकुकीलाई संक्रामक अन्तर्वार्ता शस्त्रागारमा एक महत्वपूर्ण घटकको रूपमा हाइलाइट गरेको छ। सेप्टेम्बर २०२४ मा प्रस्तुत गरिएको मालवेयरले कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भर मार्फत आफ्नो पेलोड ल्याउने र कार्यान्वयन गर्दै BeaverTail सँग मिलेर काम गर्छ। Socket.IO JavaScript पुस्तकालय प्रयोग गरेर, OtterCookie ले फाइलहरू, क्लिपबोर्ड सामग्री र क्रिप्टोकरन्सी वालेट कुञ्जीहरू जस्ता संवेदनशील डेटालाई बाहिर निकाल्न शेल आदेशहरू कार्यान्वयन गर्न सक्छ।

विकसित क्षमताहरू: OtterCookie संस्करणहरू

OtterCookie को प्रारम्भिक संस्करणले यसको कोडबेस भित्र प्रत्यक्ष क्रिप्टोकरेन्सी वालेट कुञ्जी चोरी संयन्त्र समावेश गर्यो। यद्यपि, २०२४ को अन्त्यमा पत्ता लागेको संशोधित संस्करणले यो सुविधालाई शेल आदेशहरू मार्फत रिमोट कार्यान्वयनमा सार्यो। यो अनुकूलनले प्रभावकारी संक्रमण श्रृंखला कायम राख्दै आक्रमणकारीहरूले आफ्ना उपकरणहरू परिष्कृत गर्न जारी प्रयासहरूलाई चित्रण गर्दछ।

निरन्तर उपकरण अद्यावधिकहरूको प्रभाव

OtterCookie को परिचय र यसको अपडेट गरिएको भेरियन्टले सङ्क्रामक अन्तर्वार्ता अभियान स्थिर हुनबाट टाढा रहेको देखाउँछ। तिनीहरूको मालवेयर क्षमताहरू बृद्धि गरेर तिनीहरूको आक्रमण पद्धतिलाई ठूलो मात्रामा अपरिवर्तित छोडेर, खतरा अभिनेताहरूले अभियानको निरन्तर सफलता र अनुपयुक्त पीडितहरूलाई लक्षित गर्नमा अनुकूलनता पुष्टि गर्छन्।