ОттерЦоокие Малваре
Севернокорејски сајбер актери повезани са кампањом Цонтагиоус Интервиев увели су нову претњу засновану на ЈаваСцрипт-у под називом ОттерЦоокие. Ова кампања, такође позната као ДецептивеДевелопмент, користи софистициране тактике друштвеног инжењеринга за испоруку претећег софтвера под маском легитимних алата или интеракција.
Преглед садржаја
Друштвени инжењеринг у основи заразног интервјуа
Кампања заразног интервјуа се у великој мери ослања на друштвени инжењеринг, при чему се нападачи представљају као регрути. Они искоришћавају појединце који траже посао, маме их да преузму злонамерни софтвер током процеса измишљеног интервјуа. Ово се постиже дистрибуцијом компромитованих апликација за видео конференције или нпм пакета хостованих на платформама као што су ГитХуб или званични регистри пакета. Такве методе су омогућиле примену породица малвера као што су БеаверТаил и ИнвисиблеФеррет.
Трацинг тхе Тхреат
Истраживачи безбедности, који су први пут документовали ову активност у новембру 2023. године, пратили су кампању под идентификатором ЦЛ-СТА-0240. Хакерска група се такође назива псеудонимима као што су Фамоус Цхоллима и Тенациоус Пунгсан. До септембра 2024. истраживачи су открили значајна ажурирања ланца напада, укључујући развијену верзију БеаверТаил-а. Ово ажурирање је увело модуларне могућности, делегирајући своје операције крађе података на Питхон скрипте под заједничким именом ЦиветК.
Разлика од Операције Дреам Јоб
Упркос сличностима са Операцијом Дреам Јоб, још једном севернокорејском сајбер кампањом везаном за посао, Цонтагиоус Интервиев остаје различит. Обе кампање користе мамце на тему посла, али се њихове методологије заразе и скупови алата разликују. Ово наглашава различите приступе које севернокорејски актери претње користе да циљају жртве.
Улога ОттерЦоокие-а у ажурираном ланцу напада
Недавни налази су истакли ОттерЦоокие као критичну компоненту у арсеналу заразних интервјуа. Злонамерни софтвер, представљен у септембру 2024. године, ради у тандему са БеаверТаил-ом, преузимајући и извршавајући свој корисни терет преко сервера за команду и контролу (Ц2). Користећи Соцкет.ИО ЈаваСцрипт библиотеку, ОттерЦоокие може да изврши команде љуске за ексфилтрирање осетљивих података као што су датотеке, садржај међуспремника и кључеви новчаника за криптовалуте.
Могућности које се развијају: Варијанте ОттерЦоокие
Почетна верзија ОттерЦоокие-а је укључила механизам за директну крађу кључева новчаника криптовалута у својој бази кодова. Међутим, ревидирана варијанта, откривена крајем 2024., пребацила је ову функцију на даљинско извршавање преко команди љуске. Ова адаптација илуструје сталне напоре нападача да усаврше своје алате уз одржавање ефикасног ланца инфекције.
Импликације континуираног ажурирања алата
Увођење ОттерЦоокие-а и његових ажурираних варијанти показује да кампања заразних интервјуа није далеко од стагнације. Побољшавајући своје могућности злонамерног софтвера, а остављајући методологију напада углавном непромењеном, актери претњи потврђују континуирани успех и прилагодљивост кампање у циљању несуђених жртава.
