Phần mềm độc hại OtterCookie
Các tác nhân mạng Bắc Triều Tiên có liên quan đến chiến dịch Phỏng vấn lây nhiễm đã giới thiệu một mối đe dọa mới dựa trên JavaScript có tên là OtterCookie. Chiến dịch này, còn được gọi là DeceptiveDevelopment, sử dụng các chiến thuật kỹ thuật xã hội tinh vi để cung cấp phần mềm đe dọa dưới vỏ bọc là các công cụ hoặc tương tác hợp pháp.
Mục lục
Kỹ thuật xã hội là cốt lõi của phỏng vấn lây lan
Chiến dịch phỏng vấn lây nhiễm dựa nhiều vào kỹ thuật xã hội, với những kẻ tấn công đóng giả làm người tuyển dụng. Chúng khai thác những cá nhân đang tìm kiếm cơ hội việc làm, dụ họ tải xuống phần mềm độc hại trong quá trình phỏng vấn giả mạo. Điều này đạt được thông qua việc phân phối các ứng dụng hội nghị truyền hình bị xâm phạm hoặc các gói npm được lưu trữ trên các nền tảng như GitHub hoặc các sổ đăng ký gói chính thức. Các phương pháp như vậy đã cho phép triển khai các họ phần mềm độc hại như BeaverTail và InvisibleFerret.
Theo dõi mối đe dọa
Các nhà nghiên cứu bảo mật, những người đầu tiên ghi lại hoạt động này vào tháng 11 năm 2023, đã theo dõi chiến dịch dưới mã định danh CL-STA-0240. Nhóm tin tặc này cũng được gọi bằng các bí danh như Famous Chollima và Tenacious Pungsan. Đến tháng 9 năm 2024, các nhà nghiên cứu đã phát hiện ra các bản cập nhật quan trọng cho chuỗi tấn công, bao gồm phiên bản tiến hóa của BeaverTail. Bản cập nhật này giới thiệu các khả năng mô-đun, ủy thác các hoạt động đánh cắp dữ liệu của mình cho các tập lệnh Python có tên chung là CivetQ.
Sự khác biệt từ Operation Dream Job
Mặc dù có những điểm tương đồng với Chiến dịch Dream Job, một chiến dịch mạng khác liên quan đến công việc của Bắc Triều Tiên, Contagious Interview vẫn khác biệt. Cả hai chiến dịch đều sử dụng mồi nhử theo chủ đề công việc, nhưng phương pháp lây nhiễm và bộ công cụ của chúng lại khác nhau. Điều này nhấn mạnh những cách tiếp cận khác nhau mà các tác nhân đe dọa của Bắc Triều Tiên sử dụng để nhắm mục tiêu vào nạn nhân.
Vai trò của OtterCookie trong Chuỗi tấn công được cập nhật
Những phát hiện gần đây đã nêu bật OtterCookie là một thành phần quan trọng trong kho vũ khí Phỏng vấn lây nhiễm. Phần mềm độc hại, được giới thiệu vào tháng 9 năm 2024, hoạt động song song với BeaverTail, truy xuất và thực thi tải trọng của nó thông qua máy chủ Command-and-Control (C2). Sử dụng thư viện JavaScript Socket.IO, OtterCookie có thể thực thi các lệnh shell để trích xuất dữ liệu nhạy cảm như tệp, nội dung clipboard và khóa ví tiền điện tử.
Khả năng phát triển: Các biến thể OtterCookie
Phiên bản đầu tiên của OtterCookie đã kết hợp cơ chế đánh cắp khóa ví tiền điện tử trực tiếp trong cơ sở mã của nó. Tuy nhiên, một biến thể đã được sửa đổi, được phát hiện vào cuối năm 2024, đã chuyển tính năng này sang thực thi từ xa thông qua các lệnh shell. Sự điều chỉnh này minh họa cho những nỗ lực liên tục của kẻ tấn công nhằm tinh chỉnh các công cụ của chúng trong khi vẫn duy trì chuỗi lây nhiễm hiệu quả.
Ý nghĩa của việc cập nhật công cụ liên tục
Việc giới thiệu OtterCookie và các biến thể được cập nhật của nó chứng minh rằng chiến dịch Phỏng vấn Contagious không hề trì trệ. Bằng cách tăng cường khả năng phần mềm độc hại của mình trong khi vẫn giữ nguyên phương pháp tấn công, những kẻ đe dọa khẳng định chiến dịch vẫn tiếp tục thành công và khả năng thích ứng khi nhắm vào những nạn nhân không nghi ngờ.
