OtterCookie Malware
Ang North Korean cyber actors na naka-link sa Contagious Interview campaign ay nagpakilala ng bagong banta na nakabatay sa JavaScript na pinangalanang OtterCookie. Ang campaign na ito, na kilala rin bilang DeceptiveDevelopment, ay gumagamit ng mga sopistikadong taktika ng social engineering para maghatid ng mga nagbabantang software sa ilalim ng pagkukunwari ng mga lehitimong tool o pakikipag-ugnayan.
Talaan ng mga Nilalaman
Social Engineering sa Core of Contagious Interview
Ang kampanya ng Nakakahawa na Panayam ay lubos na umaasa sa social engineering, kung saan ang mga umaatake ay nagpapanggap bilang mga recruiter. Pinagsasamantalahan nila ang mga indibidwal na naghahanap ng mga pagkakataon sa trabaho, na hinihikayat sila sa pag-download ng masasamang software sa panahon ng isang gawa-gawang proseso ng pakikipanayam. Nakakamit ito sa pamamagitan ng pamamahagi ng mga nakompromisong application ng videoconferencing o npm package na naka-host sa mga platform tulad ng GitHub o mga opisyal na pagpaparehistro ng package. Pinapagana ng mga ganitong paraan ang pag-deploy ng mga pamilya ng malware tulad ng BeaverTail at InvisibleFerret.
Pagsubaybay sa Banta
Sinusubaybayan ng mga mananaliksik sa seguridad, na unang nagdokumento ng aktibidad na ito noong Nobyembre 2023, ang campaign sa ilalim ng identifier na CL-STA-0240. Ang hacking group ay tinutukoy din ng mga alyas tulad ng Famous Chollima at ang Tenacious Pungsan. Pagsapit ng Setyembre 2024, natuklasan ng mga mananaliksik ang mahahalagang update sa attack chain, kabilang ang isang binagong bersyon ng BeaverTail. Ipinakilala ng update na ito ang mga modular na kakayahan, na nagtalaga ng mga operasyong pagnanakaw ng data nito sa mga script ng Python na pinagsama-samang pinangalanang CivetQ.
Pagkakaiba sa Operation Dream Job
Sa kabila ng pagkakatulad nito sa Operation Dream Job, isa pang cyber campaign na nauugnay sa trabaho sa North Korean, nananatiling kakaiba ang Contagious Interview. Ang parehong mga kampanya ay gumagamit ng mga decoy na may temang trabaho, ngunit ang kanilang mga pamamaraan ng impeksyon at mga toolset ay nagkakaiba. Binibigyang-diin nito ang iba't ibang mga diskarte na ginagamit ng mga aktor ng pagbabanta ng North Korea upang i-target ang mga biktima.
Ang Papel ni OtterCookie sa Na-update na Attack Chain
Itinampok ng mga kamakailang natuklasan ang OtterCookie bilang isang kritikal na bahagi sa arsenal ng Nakakahawang Panayam. Ang malware, na ipinakilala noong Setyembre 2024, ay gumagana kasabay ng BeaverTail, kumukuha at nagpapatupad ng payload nito sa pamamagitan ng Command-and-Control (C2) server. Gamit ang Socket.IO JavaScript library, ang OtterCookie ay maaaring magsagawa ng mga shell command para i-exfiltrate ang sensitibong data gaya ng mga file, clipboard content at cryptocurrency wallet keys.
Mga Nagbabagong Kakayahan: Mga Variant ng OtterCookie
Ang unang bersyon ng OtterCookie ay nagsama ng direktang mekanismo ng pagnanakaw ng susi ng wallet ng cryptocurrency sa loob ng codebase nito. Gayunpaman, inilipat ng isang binagong variant, na nakita noong huling bahagi ng 2024, ang feature na ito sa malayuang pagpapatupad sa pamamagitan ng mga shell command. Ang adaptasyon na ito ay naglalarawan ng patuloy na pagsisikap ng mga umaatake na pinuhin ang kanilang mga tool habang pinapanatili ang isang epektibong chain ng impeksyon.
Mga Implikasyon ng Patuloy na Pag-update ng Tool
Ang pagpapakilala ng OtterCookie at ang mga na-update na variant nito ay nagpapakita na ang kampanya ng Nakakahawa na Panayam ay malayo sa pag-stagnant. Sa pamamagitan ng pagpapahusay sa kanilang mga kakayahan sa malware habang hinahayaan ang kanilang pamamaraan ng pag-atake na halos hindi nagbabago, ang mga aktor ng banta ay nagpapatunay sa patuloy na tagumpay at kakayahang umangkop ng kampanya sa pag-target sa mga hindi pinaghihinalaang biktima.
