OtterCookie Malware
Nordkoreanska cyberaktörer kopplade till kampanjen Contagious Interview har introducerat ett nytt JavaScript-baserat hot vid namn OtterCookie. Denna kampanj, även känd som DeceptiveDevelopment, använder sofistikerad social ingenjörskonst för att leverera hotfull programvara under sken av legitima verktyg eller interaktioner.
Innehållsförteckning
Social Engineering i kärnan av smittsam intervju
Kampanjen Contagious Interview är starkt beroende av social ingenjörskonst, där angriparna utger sig som rekryterare. De utnyttjar individer som söker jobbmöjligheter och lockar dem att ladda ner skadlig programvara under en påhittad intervjuprocess. Detta uppnås genom distribution av komprometterade videokonferensapplikationer eller npm-paket på plattformar som GitHub eller officiella paketregister. Sådana metoder har möjliggjort distributionen av skadliga programfamiljer som BeaverTail och InvisibleFerret.
Spåra hotet
Säkerhetsforskare, som först dokumenterade denna aktivitet i november 2023, har spårat kampanjen under identifieraren CL-STA-0240. Hackargruppen hänvisas också till av alias som den berömda Chollima och den Tenacious Pungsan. I september 2024 upptäckte forskare betydande uppdateringar av attackkedjan, inklusive en utvecklad version av BeaverTail. Denna uppdatering introducerade modulära funktioner, delegerade dess datastöldoperationer till Python-skript som gemensamt heter CivetQ.
Skillnad från Operation Dream Job
Trots dess likheter med Operation Dream Job, en annan jobbrelaterad nordkoreansk cyberkampanj, förblir Contagious Interview distinkt. Båda kampanjerna använder lockbete med jobbtema, men deras infektionsmetoder och verktygsuppsättningar skiljer sig åt. Detta understryker de olika tillvägagångssätt som nordkoreanska hotaktörer använder för att rikta in sig på offer.
OtterCookies roll i den uppdaterade attackkedjan
De senaste resultaten har lyft fram OtterCookie som en kritisk komponent i arsenalen för smittsamma intervjuer. Skadlig programvara, som introducerades i september 2024, fungerar tillsammans med BeaverTail, hämtar och exekverar dess nyttolast via en Command-and-Control-server (C2). Genom att använda Socket.IO JavaScript-biblioteket kan OtterCookie köra skalkommandon för att exfiltrera känslig data som filer, innehåll från urklipp och plånboksnycklar för kryptovaluta.
Utvecklande funktioner: OtterCookie-varianter
Den första versionen av OtterCookie inkorporerade en direkt stöldmekanism för kryptovaluta plånboksnyckel i sin kodbas. En reviderad variant, upptäckt i slutet av 2024, flyttade dock denna funktion till fjärrexekvering via skalkommandon. Denna anpassning illustrerar angriparnas pågående ansträngningar att förfina sina verktyg samtidigt som de upprätthåller en effektiv infektionskedja.
Konsekvenser av kontinuerliga verktygsuppdateringar
Introduktionen av OtterCookie och dess uppdaterade varianter visar att kampanjen Contagious Interview är långt ifrån stillastående. Genom att förbättra sina möjligheter till skadlig programvara samtidigt som de lämnar deras attackmetodik i stort sett oförändrad, bekräftar hotaktörerna kampanjens fortsatta framgång och anpassningsförmåga när det gäller att rikta in sig på intet ont anande offer.
