Зловмисне програмне забезпечення OtterCookie
Північнокорейські кіберактори, пов’язані з кампанією Contagious Interview, представили нову загрозу на основі JavaScript під назвою OtterCookie. Ця кампанія, також відома як DeceptiveDevelopment, використовує складну тактику соціальної інженерії для доставки загрозливого програмного забезпечення під виглядом законних інструментів або взаємодій.
Зміст
Соціальна інженерія в основі заразливого інтерв’ю
Кампанія Contagious Interview значною мірою спирається на соціальну інженерію, а зловмисники видають себе за вербувальників. Вони використовують людей, які шукають можливості роботи, заманюючи їх у завантаження зловмисного програмного забезпечення під час сфабрикованого процесу співбесіди. Це досягається шляхом розповсюдження скомпрометованих програм для відеоконференцій або пакетів npm, розміщених на таких платформах, як GitHub, або в офіційних реєстрах пакетів. Такі методи уможливили розгортання сімейств шкідливих програм, таких як BeaverTail і InvisibleFerret.
Відстеження загрози
Дослідники безпеки, які вперше задокументували цю діяльність у листопаді 2023 року, відстежили кампанію під ідентифікатором CL-STA-0240. Хакерську групу також називають такими псевдонімами, як Famous Chollima та Tenacious Pungsan. До вересня 2024 року дослідники виявили значні оновлення в ланцюжку атак, включаючи розширену версію BeaverTail. Це оновлення представило модульні можливості, делегуючи свої операції з крадіжки даних сценаріям Python під загальною назвою CivetQ.
Відмінність від операції Dream Job
Незважаючи на схожість з Operation Dream Job, іншою пов’язаною з працевлаштуванням північнокорейською кіберкампанією, Contagious Interview залишається відмінною. Обидві кампанії використовують приманки на тему роботи, але їхні методології зараження та набори інструментів відрізняються. Це підкреслює різноманітність підходів, які північнокорейські суб’єкти загрози використовують для націлювання на жертв.
Роль OtterCookie в оновленому ланцюжку атак
Нещодавні висновки висвітлили OtterCookie як важливий компонент в арсеналі Contagious Interview. Зловмисне програмне забезпечення, представлене у вересні 2024 року, працює в тандемі з BeaverTail, завантажуючи та виконуючи його корисне навантаження через сервер командування та керування (C2). Використовуючи бібліотеку JavaScript Socket.IO, OtterCookie може виконувати команди оболонки для вилучення конфіденційних даних, таких як файли, вміст буфера обміну та ключі гаманця криптовалюти.
Можливості, що розвиваються: варіанти OtterCookie
Початкова версія OtterCookie включала механізм прямої крадіжки ключів криптовалютного гаманця в кодовій базі. Однак переглянутий варіант, виявлений наприкінці 2024 року, переніс цю функцію на віддалене виконання за допомогою команд оболонки. Ця адаптація ілюструє постійні зусилля зловмисників щодо вдосконалення своїх інструментів, зберігаючи ефективний ланцюг зараження.
Наслідки постійного оновлення інструментів
Представлення OtterCookie та його оновлених варіантів демонструє, що кампанія Contagious Interview далека від стагнації. Покращуючи свої можливості захисту від зловмисного програмного забезпечення, залишаючи майже незмінною методологію атаки, суб’єкти загрози підтверджують незмінний успіх кампанії та її адаптивність у націлюванні на нічого не підозрюючих жертв.
