Вредоносное ПО OtterCookie
Северокорейские киберпреступники, связанные с кампанией Contagious Interview, представили новую угрозу на основе JavaScript под названием OtterCookie. Эта кампания, также известная как DeceptiveDevelopment, использует сложные тактики социальной инженерии для доставки угрожающего программного обеспечения под видом легитимных инструментов или взаимодействий.
Оглавление
Социальная инженерия в основе заразительного интервью
Кампания Contagious Interview в значительной степени опирается на социальную инженерию, при этом злоумышленники выдают себя за рекрутеров. Они эксплуатируют людей, ищущих работу, заманивая их в загрузку вредоносного ПО во время сфабрикованного собеседования. Это достигается путем распространения скомпрометированных приложений для видеоконференций или пакетов npm, размещенных на таких платформах, как GitHub или официальных реестрах пакетов. Такие методы позволили внедрить такие семейства вредоносных программ, как BeaverTail и InvisibleFerret.
Отслеживание угрозы
Исследователи безопасности, которые впервые задокументировали эту активность в ноябре 2023 года, отследили кампанию под идентификатором CL-STA-0240. Хакерская группа также известна под псевдонимами, такими как Famous Chollima и Tenacious Pungsan. К сентябрю 2024 года исследователи обнаружили значительные обновления в цепочке атак, включая усовершенствованную версию BeaverTail. Это обновление представило модульные возможности, делегировав свои операции по краже данных скриптам Python, совместно именуемым CivetQ.
Отличие от Operation Dream Job
Несмотря на сходство с Operation Dream Job, другой северокорейской киберкампанией, связанной с работой, Contagious Interview остается отличительной. Обе кампании используют приманки на тему работы, но их методы заражения и наборы инструментов различаются. Это подчеркивает различные подходы, которые северокорейские злоумышленники используют для нацеливания на жертв.
Роль OtterCookie в обновленной цепочке атак
Недавние результаты исследований выявили OtterCookie как критически важный компонент в арсенале Contagious Interview. Вредоносная программа, представленная в сентябре 2024 года, работает в тандеме с BeaverTail, извлекая и выполняя свою полезную нагрузку через сервер Command-and-Control (C2). Используя библиотеку JavaScript Socket.IO, OtterCookie может выполнять команды оболочки для извлечения конфиденциальных данных, таких как файлы, содержимое буфера обмена и ключи криптовалютного кошелька.
Развивающиеся возможности: варианты OtterCookie
Первоначальная версия OtterCookie включала в себя механизм прямой кражи ключей криптовалютного кошелька в своей кодовой базе. Однако пересмотренный вариант, обнаруженный в конце 2024 года, перенес эту функцию на удаленное выполнение с помощью команд оболочки. Эта адаптация иллюстрирует постоянные усилия злоумышленников по совершенствованию своих инструментов, сохраняя при этом эффективную цепочку заражения.
Последствия постоянного обновления инструментов
Введение OtterCookie и его обновленных вариантов показывает, что кампания Contagious Interview далека от застоя. Улучшая возможности своего вредоносного ПО, оставляя свою методологию атаки в значительной степени неизменной, злоумышленники подтверждают продолжающийся успех кампании и ее адаптивность в нацеливании на ничего не подозревающих жертв.
