มัลแวร์ OtterCookie
ผู้กระทำความผิดทางไซเบอร์ชาวเกาหลีเหนือที่เชื่อมโยงกับแคมเปญ Contagious Interview ได้แนะนำภัยคุกคามใหม่ที่ใช้ JavaScript ชื่อ OtterCookie แคมเปญนี้ซึ่งรู้จักกันในชื่อ DeceptiveDevelopment ใช้กลวิธีทางวิศวกรรมสังคมที่ซับซ้อนเพื่อส่งมอบซอฟต์แวร์คุกคามภายใต้หน้ากากของเครื่องมือหรือการโต้ตอบที่ถูกต้องตามกฎหมาย
สารบัญ
วิศวกรรมสังคมที่เป็นแกนหลักของการสัมภาษณ์แบบแพร่กระจาย
แคมเปญ Contagious Interview นั้นอาศัยกลวิธีทางสังคมเป็นอย่างมาก โดยผู้โจมตีจะแอบอ้างตัวเป็นผู้รับสมัครบุคคล โดยใช้ประโยชน์จากบุคคลที่กำลังหางาน โดยล่อลวงให้ดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายในระหว่างขั้นตอนการสัมภาษณ์ปลอม ซึ่งทำได้โดยการแจกจ่ายแอปพลิเคชันการประชุมทางวิดีโอที่ถูกบุกรุกหรือแพ็กเกจ npm ที่โฮสต์บนแพลตฟอร์มเช่น GitHub หรือรีจิสทรีแพ็กเกจอย่างเป็นทางการ วิธีการดังกล่าวทำให้สามารถติดตั้งมัลแวร์ตระกูลต่างๆ เช่น BeaverTail และ InvisibleFerret ได้
การติดตามภัยคุกคาม
นักวิจัยด้านความปลอดภัยซึ่งบันทึกกิจกรรมนี้เป็นครั้งแรกในเดือนพฤศจิกายน 2023 ได้ติดตามแคมเปญนี้ภายใต้รหัส CL-STA-0240 กลุ่มแฮกเกอร์ยังถูกเรียกด้วยชื่อเล่น เช่น Chollima ที่มีชื่อเสียงและ Pungsan ที่เหนียวแน่น ภายในเดือนกันยายน 2024 นักวิจัยได้ค้นพบการอัปเดตที่สำคัญของห่วงโซ่การโจมตี รวมถึง BeaverTail เวอร์ชันที่พัฒนาแล้ว การอัปเดตนี้เปิดตัวความสามารถแบบโมดูลาร์ โดยมอบหมายการดำเนินการขโมยข้อมูลให้กับสคริปต์ Python ที่มีชื่อเรียกโดยรวมว่า CivetQ
ความแตกต่างจากงานในฝัน
แม้ว่าจะมีความคล้ายคลึงกับ Operation Dream Job ซึ่งเป็นแคมเปญไซเบอร์ที่เกี่ยวข้องกับงานอีกแคมเปญหนึ่งของเกาหลีเหนือ แต่ Contagious Interview ยังคงมีความแตกต่างกัน แคมเปญทั้งสองใช้กลลวงที่เกี่ยวข้องกับงาน แต่แนวทางและชุดเครื่องมือในการติดเชื้อนั้นแตกต่างกัน ซึ่งเน้นย้ำถึงวิธีการต่างๆ ที่ผู้คุกคามจากเกาหลีเหนือใช้ในการกำหนดเป้าหมายเหยื่อ
บทบาทของ OtterCookie ในห่วงโซ่การโจมตีที่อัปเดต
ผลการค้นพบล่าสุดชี้ให้เห็นว่า OtterCookie เป็นส่วนประกอบสำคัญในคลังอาวุธ Contagious Interview มัลแวร์ที่เปิดตัวในเดือนกันยายน 2024 ทำงานควบคู่กับ BeaverTail โดยดึงและดำเนินการโหลดผ่านเซิร์ฟเวอร์ Command-and-Control (C2) โดยใช้ไลบรารี JavaScript ของ Socket.IO OtterCookie สามารถดำเนินการคำสั่งเชลล์เพื่อขโมยข้อมูลที่ละเอียดอ่อน เช่น ไฟล์ เนื้อหาในคลิปบอร์ด และคีย์กระเป๋าเงินสกุลเงินดิจิทัล
ความสามารถที่กำลังพัฒนา: ตัวแปร OtterCookie
OtterCookie เวอร์ชันเริ่มต้นได้รวมกลไกการขโมยคีย์กระเป๋าสตางค์สกุลเงินดิจิทัลโดยตรงไว้ในฐานโค้ด อย่างไรก็ตาม ตัวแปรที่แก้ไขซึ่งตรวจพบในช่วงปลายปี 2024 ได้เปลี่ยนคุณลักษณะนี้ให้เป็นการดำเนินการจากระยะไกลผ่านคำสั่งเชลล์ การปรับเปลี่ยนนี้แสดงให้เห็นถึงความพยายามอย่างต่อเนื่องของผู้โจมตีในการปรับปรุงเครื่องมือของตนในขณะที่รักษาห่วงโซ่การติดเชื้อที่มีประสิทธิภาพ
ผลกระทบของการอัปเดตเครื่องมืออย่างต่อเนื่อง
การแนะนำ OtterCookie และเวอร์ชันที่อัปเดตใหม่แสดงให้เห็นว่าแคมเปญ Contagious Interview นั้นไม่ได้หยุดนิ่งเลย โดยการเพิ่มความสามารถของมัลแวร์ในขณะที่ยังคงวิธีการโจมตีไว้เหมือนเดิม ผู้ก่อภัยคุกคามยืนยันถึงความสำเร็จอย่างต่อเนื่องและความสามารถในการปรับตัวของแคมเปญในการกำหนดเป้าหมายเหยื่อที่ไม่คาดคิด
