Malware OtterCookie
Północnokoreańscy cyberaktorzy powiązani z kampanią Contagious Interview wprowadzili nowe zagrożenie oparte na JavaScript o nazwie OtterCookie. Ta kampania, znana również jako DeceptiveDevelopment, wykorzystuje wyrafinowane taktyki inżynierii społecznej, aby dostarczać groźne oprogramowanie pod przykrywką legalnych narzędzi lub interakcji.
Spis treści
Inżynieria społeczna w centrum zaraźliwego wywiadu
Kampania Contagious Interview opiera się w dużej mierze na inżynierii społecznej, a atakujący podszywają się pod rekruterów. Wykorzystują osoby poszukujące pracy, wabiąc je do pobierania złośliwego oprogramowania podczas sfabrykowanego procesu rozmowy kwalifikacyjnej. Osiąga się to poprzez dystrybucję zainfekowanych aplikacji do wideokonferencji lub pakietów npm hostowanych na platformach takich jak GitHub lub oficjalne rejestry pakietów. Takie metody umożliwiły wdrożenie rodzin złośliwego oprogramowania, takich jak BeaverTail i InvisibleFerret.
Śledzenie zagrożenia
Badacze bezpieczeństwa, którzy po raz pierwszy udokumentowali tę aktywność w listopadzie 2023 r., śledzili kampanię pod identyfikatorem CL-STA-0240. Grupa hakerska jest również określana pseudonimami, takimi jak Famous Chollima i Tenacious Pungsan. Do września 2024 r. badacze odkryli znaczące aktualizacje łańcucha ataków, w tym rozwiniętą wersję BeaverTail. Ta aktualizacja wprowadziła modułowe możliwości, delegując operacje kradzieży danych do skryptów Pythona zbiorczo nazywanych CivetQ.
Wyróżnienie w ramach Operation Dream Job
Pomimo podobieństw do Operation Dream Job, innej północnokoreańskiej cyberkampanii związanej z pracą, Contagious Interview pozostaje odrębna. Obie kampanie wykorzystują przynęty związane z pracą, ale ich metodologie infekcji i zestawy narzędzi różnią się. Podkreśla to zróżnicowane podejścia północnokoreańskich aktorów zagrożeń do atakowania ofiar.
Rola OtterCookie w zaktualizowanym łańcuchu ataków
Ostatnie odkrycia podkreśliły OtterCookie jako kluczowy element arsenału Contagious Interview. Złośliwe oprogramowanie, wprowadzone we wrześniu 2024 r., działa w tandemie z BeaverTail, pobierając i wykonując swój ładunek za pośrednictwem serwera Command-and-Control (C2). Korzystając z biblioteki JavaScript Socket.IO, OtterCookie może wykonywać polecenia powłoki w celu eksfiltracji poufnych danych, takich jak pliki, zawartość schowka i klucze portfela kryptowaluty.
Rozwijające się możliwości: warianty OtterCookie
Pierwotna wersja OtterCookie zawierała bezpośredni mechanizm kradzieży kluczy portfela kryptowalut w swojej bazie kodu. Jednak poprawiona wersja, wykryta pod koniec 2024 r., przeniosła tę funkcję na zdalne wykonywanie za pomocą poleceń powłoki. Ta adaptacja ilustruje trwające wysiłki atakujących mające na celu udoskonalenie ich narzędzi przy jednoczesnym utrzymaniu skutecznego łańcucha infekcji.
Konsekwencje ciągłych aktualizacji narzędzi
Wprowadzenie OtterCookie i jego zaktualizowanych wariantów pokazuje, że kampania Contagious Interview jest daleka od stagnacji. Poprzez udoskonalanie swoich możliwości malware, przy jednoczesnym pozostawieniu metodologii ataku w dużej mierze niezmienionej, aktorzy zagrożeń potwierdzają ciągły sukces kampanii i jej zdolność adaptacji w celu atakowania niczego niepodejrzewających ofiar.
