Zlonamerna programska oprema OtterCookie
Severnokorejski kibernetski akterji, povezani s kampanjo Contagious Interview, so predstavili novo grožnjo, ki temelji na JavaScriptu, imenovano OtterCookie. Ta kampanja, znana tudi kot DeceptiveDevelopment, uporablja prefinjene taktike socialnega inženiringa za zagotavljanje nevarne programske opreme pod krinko legitimnih orodij ali interakcij.
Kazalo
Socialni inženiring v jedru nalezljivega intervjuja
Kampanja Contagious Interview se v veliki meri opira na socialni inženiring, pri čemer se napadalci predstavljajo kot rekruterji. Izkoriščajo posameznike, ki iščejo zaposlitvene priložnosti, in jih zvabijo v prenos zlonamerne programske opreme med izmišljenim postopkom razgovora. To se doseže z distribucijo ogroženih videokonferenčnih aplikacij ali paketov npm, ki gostujejo na platformah, kot je GitHub, ali uradnih registrih paketov. Takšne metode so omogočile uvedbo družin zlonamerne programske opreme, kot sta BeaverTail in InvisibleFerret.
Izsleditev grožnje
Varnostni raziskovalci, ki so to dejavnost prvič dokumentirali novembra 2023, so sledili kampanji pod identifikatorjem CL-STA-0240. Hekersko skupino omenjajo tudi vzdevki, kot sta Famous Chollima in Tenacious Pungsan. Do septembra 2024 so raziskovalci odkrili pomembne posodobitve verige napadov, vključno z razvito različico BeaverTail. Ta posodobitev je uvedla modularne zmogljivosti, s katerimi je svoje operacije kraje podatkov prenesla na skripte Python s skupnim imenom CivetQ.
Razlika od operacije Dream Job
Kljub podobnosti z operacijo Dream Job, še eno severnokorejsko kibernetsko kampanjo, povezano z zaposlitvijo, Contagious Interview ostaja drugačen. Obe kampanji uporabljata vabe na temo službe, vendar se njune metodologije okužbe in nabori orodij razlikujejo. To poudarja različne pristope, ki jih severnokorejski akterji groženj uporabljajo za ciljanje na žrtve.
Vloga OtterCookie v posodobljeni verigi napadov
Nedavne ugotovitve so poudarile OtterCookie kot kritično komponento v arzenalu Contagious Interview. Zlonamerna programska oprema, predstavljena septembra 2024, deluje v tandemu z BeaverTail, pri čemer pridobiva in izvaja svoj tovor prek strežnika za ukazovanje in nadzor (C2). Z uporabo knjižnice Socket.IO JavaScript lahko OtterCookie izvaja ukaze lupine za izločanje občutljivih podatkov, kot so datoteke, vsebina odložišča in ključi denarnice za kriptovalute.
Razvijajoče se zmogljivosti: različice OtterCookie
Začetna različica OtterCookie je v svojo kodno zbirko vključevala neposreden mehanizem kraje ključev denarnice za kriptovalute. Vendar pa je spremenjena različica, odkrita konec leta 2024, to funkcijo premaknila na oddaljeno izvajanje prek ukazov lupine. Ta prilagoditev ponazarja nenehna prizadevanja napadalcev, da bi izboljšali svoja orodja, hkrati pa ohranili učinkovito verigo okužb.
Posledice stalnih posodobitev orodij
Predstavitev piškotka OtterCookie in njegovih posodobljenih različic dokazuje, da kampanja Contagious Interview še zdaleč ni stagnirala. Z izboljšanjem zmogljivosti zlonamerne programske opreme, medtem ko njihova metodologija napadov ostaja večinoma nespremenjena, akterji groženj potrjujejo nadaljnji uspeh in prilagodljivost kampanje pri ciljanju na nič hudega sluteče žrtve.
