OtterCookie Kötü Amaçlı Yazılım
Contagious Interview kampanyasıyla bağlantılı Kuzey Koreli siber aktörler, OtterCookie adlı yeni bir JavaScript tabanlı tehdit tanıttı. DeceptiveDevelopment olarak da bilinen bu kampanya, meşru araçlar veya etkileşimler kisvesi altında tehdit edici yazılımlar sunmak için karmaşık sosyal mühendislik taktikleri kullanır.
İçindekiler
Bulaşıcı Röportajın Özündeki Sosyal Mühendislik
Bulaşıcı Röportaj kampanyası, saldırganların işe alımcı gibi davrandığı sosyal mühendisliğe büyük ölçüde dayanmaktadır. İş fırsatları arayan bireyleri istismar ederek, onları uydurma bir röportaj süreci sırasında kötü niyetli yazılımları indirmeye ikna ederler. Bu, GitHub veya resmi paket kayıtları gibi platformlarda barındırılan tehlikeye atılmış video konferans uygulamalarının veya npm paketlerinin dağıtımı yoluyla elde edilir. Bu tür yöntemler, BeaverTail ve InvisibleFerret gibi kötü amaçlı yazılım ailelerinin dağıtımını sağlamıştır.
Tehditleri İzlemek
Bu aktiviteyi ilk olarak Kasım 2023'te belgeleyen güvenlik araştırmacıları, kampanyayı CL-STA-0240 tanımlayıcısı altında takip ettiler. Hack grubu ayrıca Famous Chollima ve Tenacious Pungsan gibi takma adlarla da anılıyor. Eylül 2024'e kadar araştırmacılar, BeaverTail'in gelişmiş bir versiyonu da dahil olmak üzere saldırı zincirinde önemli güncellemeler keşfettiler. Bu güncelleme, veri hırsızlığı işlemlerini toplu olarak CivetQ olarak adlandırılan Python betiklerine devrederek modüler yetenekler tanıttı.
Operation Dream Job’dan Farklılık
Operation Dream Job'a benzerliğine rağmen, bir diğer iş odaklı Kuzey Kore siber kampanyası olan Contagious Interview farklılığını koruyor. Her iki kampanya da iş temalı tuzaklar kullanıyor, ancak enfeksiyon metodolojileri ve araç setleri farklılaşıyor. Bu, Kuzey Kore tehdit aktörlerinin kurbanları hedeflemek için kullandıkları çeşitli yaklaşımların altını çiziyor.
Güncellenen Saldırı Zincirinde OtterCookie’nin Rolü
Son bulgular, OtterCookie'yi Bulaşıcı Röportaj cephaneliğinde kritik bir bileşen olarak vurguladı. Eylül 2024'te tanıtılan kötü amaçlı yazılım, BeaverTail ile birlikte çalışarak yükünü bir Komuta ve Kontrol (C2) sunucusu aracılığıyla alıp yürütüyor. Socket.IO JavaScript kitaplığını kullanan OtterCookie, dosyalar, pano içeriği ve kripto para cüzdan anahtarları gibi hassas verileri sızdırmak için kabuk komutlarını yürütebilir.
Gelişen Yetenekler: OtterCookie Çeşitleri
OtterCookie'nin ilk sürümü, kod tabanında doğrudan bir kripto para cüzdanı anahtar hırsızlığı mekanizması içeriyordu. Ancak, 2024'ün sonlarında tespit edilen revize edilmiş bir varyant, bu özelliği kabuk komutları aracılığıyla uzaktan yürütmeye kaydırdı. Bu uyarlama, saldırganların etkili bir enfeksiyon zincirini korurken araçlarını iyileştirmeye yönelik devam eden çabalarını göstermektedir.
Sürekli Araç Güncellemelerinin Etkileri
OtterCookie ve güncellenmiş varyantlarının tanıtımı, Bulaşıcı Röportaj kampanyasının durgun olmaktan uzak olduğunu gösteriyor. Kötü amaçlı yazılım yeteneklerini geliştirirken saldırı metodolojilerini büyük ölçüde değiştirmeden, tehdit aktörleri kampanyanın şüphesiz kurbanları hedeflemedeki devam eden başarısını ve uyarlanabilirliğini teyit ediyor.
