OtterCookie malvér
Severokórejskí kybernetickí aktéri spojení s kampaňou Contagious Interview predstavili novú hrozbu založenú na JavaScripte s názvom OtterCookie. Táto kampaň, známa aj ako DeceptiveDevelopment, využíva sofistikované taktiky sociálneho inžinierstva na poskytovanie hrozivého softvéru pod rúškom legitímnych nástrojov alebo interakcií.
Obsah
Sociálne inžinierstvo v jadre nákazlivého rozhovoru
Kampaň Contagious Interview sa vo veľkej miere spolieha na sociálne inžinierstvo, pričom útočníci vystupujú ako náborári. Využívajú jednotlivcov hľadajúcich pracovné príležitosti a lákajú ich na stiahnutie škodlivého softvéru počas vykonštruovaného procesu pohovoru. Dosahuje sa to distribúciou napadnutých videokonferenčných aplikácií alebo balíkov npm hostovaných na platformách ako GitHub alebo oficiálnych registroch balíkov. Takéto metódy umožnili nasadenie rodín škodlivého softvéru, ako sú BeaverTail a InvisibleFerret.
Sledovanie hrozby
Bezpečnostní výskumníci, ktorí túto aktivitu prvýkrát zdokumentovali v novembri 2023, sledovali kampaň pod identifikátorom CL-STA-0240. Hackerskú skupinu označujú aj prezývky ako Slávna Chollima a Tenacious Pungsan. Do septembra 2024 výskumníci odhalili významné aktualizácie reťazca útokov, vrátane vylepšenej verzie BeaverTail. Táto aktualizácia zaviedla modulárne funkcie a delegovala svoje operácie krádeže údajov na skripty Pythonu súhrnne pomenované CivetQ.
Rozdiel od operácie Dream Job
Napriek svojej podobnosti s operáciou Dream Job, ďalšou severokórejskou kybernetickou kampaňou súvisiacou s prácou, Contagious Interview zostáva odlišný. Obe kampane využívajú návnady s tematikou práce, ale ich metódy infekcie a sady nástrojov sa líšia. To podčiarkuje rôzne prístupy, ktoré severokórejskí aktéri hrozieb využívajú pri zacielení na obete.
Úloha OtterCookie v aktualizovanom reťazci útokov
Nedávne zistenia vyzdvihli OtterCookie ako kritickú zložku v arzenáli Contagious Interview. Malvér, predstavený v septembri 2024, funguje v tandeme s BeaverTail, načítava a spúšťa svoje užitočné zaťaženie prostredníctvom servera Command-and-Control (C2). Pomocou knižnice Socket.IO JavaScript môže OtterCookie vykonávať príkazy shellu na extrakciu citlivých údajov, ako sú súbory, obsah schránky a kľúče kryptomenovej peňaženky.
Vyvíjajúce sa schopnosti: Varianty OtterCookie
Počiatočná verzia OtterCookie začlenila do svojej kódovej základne mechanizmus priamej krádeže kľúčov z peňaženky kryptomien. Revidovaný variant, zistený koncom roka 2024, však posunul túto funkciu na vzdialené vykonávanie prostredníctvom príkazov shellu. Táto úprava ilustruje prebiehajúce snahy útočníkov vylepšiť svoje nástroje pri zachovaní efektívneho infekčného reťazca.
Dôsledky nepretržitých aktualizácií nástrojov
Predstavenie OtterCookie a jeho aktualizovaných variantov dokazuje, že kampaň Contagious Interview zďaleka nestagnuje. Vylepšením svojich malvérových schopností a zároveň ponechaním ich metodológie útokov do značnej miery nezmenenej, aktéri hrozieb potvrdzujú pokračujúci úspech a adaptabilitu kampane pri zacielení na nič netušiace obete.
