Malware OtterCookie
Aktorët kibernetikë të Koresë së Veriut të lidhur me fushatën Intervistë ngjitëse kanë prezantuar një kërcënim të ri të bazuar në JavaScript të quajtur OtterCookie. Kjo fushatë, e njohur gjithashtu si DeceptiveDevelopment, përdor taktika të sofistikuara të inxhinierisë sociale për të ofruar softuer kërcënues nën maskën e mjeteve ose ndërveprimeve legjitime.
Tabela e Përmbajtjes
Inxhinieria Sociale në Thelbin e Intervistës ngjitëse
Fushata e Intervistës ngjitëse mbështetet shumë në inxhinierinë sociale, me sulmuesit që paraqiten si rekrutues. Ata shfrytëzojnë individë që kërkojnë mundësi pune, duke i joshur ata të shkarkojnë softuer keqdashës gjatë një procesi interviste të fabrikuar. Kjo arrihet përmes shpërndarjes së aplikacioneve të komprometuara të videokonferencave ose paketave npm të pritura në platforma si GitHub ose regjistrat zyrtarë të paketave. Metoda të tilla kanë mundësuar vendosjen e familjeve të malware si BeaverTail dhe InvisibleFerret.
Gjurmimi i Kërcënimit
Studiuesit e sigurisë, të cilët e dokumentuan për herë të parë këtë aktivitet në nëntor 2023, e kanë gjurmuar fushatën nën identifikuesin CL-STA-0240. Grupit të hakerëve i referohen edhe pseudonime të tilla si Famous Chollima dhe Tenacious Pungsan. Deri në shtator 2024, studiuesit zbuluan përditësime të rëndësishme në zinxhirin e sulmit, duke përfshirë një version të evoluar të BeaverTail. Ky përditësim prezantoi aftësi modulare, duke deleguar operacionet e tij të vjedhjes së të dhënave tek skriptet e Python të quajtur kolektivisht CivetQ.
Dallimi nga Operacioni Dream Job
Pavarësisht ngjashmërive të tij me Operacionin Dream Job, një tjetër fushatë kibernetike e Koresë së Veriut lidhur me punën, Intervista ngjitëse mbetet e dallueshme. Të dyja fushatat përdorin mashtrime me temë pune, por metodologjitë e tyre të infeksionit dhe grupet e mjeteve ndryshojnë. Kjo nënvizon qasjet e ndryshme që aktorët e kërcënimit të Koresë së Veriut përdorin për të synuar viktimat.
Roli i OtterCookie në zinxhirin e azhurnuar të sulmit
Gjetjet e fundit kanë theksuar OtterCookie si një komponent kritik në arsenalin e Intervistës Infektive. Malware, i prezantuar në shtator 2024, funksionon së bashku me BeaverTail, duke marrë dhe ekzekutuar ngarkesën e tij përmes një serveri Command-and-Control (C2). Duke përdorur bibliotekën JavaScript Socket.IO, OtterCookie mund të ekzekutojë komanda të guaskës për të nxjerrë të dhëna të ndjeshme si skedarët, përmbajtjen e kujtesës së fragmenteve dhe çelësat e portofolit të kriptomonedhave.
Aftësitë në zhvillim: Variantet OtterCookie
Versioni fillestar i OtterCookie inkorporoi një mekanizëm të drejtpërdrejtë të vjedhjes së çelësit të portofolit të kriptomonedhës brenda bazës së kodit të tij. Megjithatë, një variant i rishikuar, i zbuluar në fund të vitit 2024, e zhvendosi këtë veçori në ekzekutim në distancë nëpërmjet komandave të guaskës. Ky përshtatje ilustron përpjekjet e vazhdueshme të sulmuesve për të përmirësuar mjetet e tyre duke ruajtur një zinxhir efektiv infeksioni.
Implikimet e përditësimeve të vazhdueshme të mjeteve
Prezantimi i OtterCookie dhe variantet e tij të përditësuara demonstron se fushata Intervistë ngjitëse nuk është aspak e ndenjur. Duke rritur aftësitë e tyre malware duke lënë të pandryshuar metodologjinë e tyre të sulmit, aktorët e kërcënimit pohojnë suksesin e vazhdueshëm dhe përshtatshmërinë e fushatës në shënjestrimin e viktimave që nuk dyshojnë.
