OtterCookie-Malware
Nordkoreanische Cyber-Akteure, die mit der Contagious Interview-Kampagne in Verbindung stehen, haben eine neue JavaScript-basierte Bedrohung namens OtterCookie eingeführt. Diese Kampagne, auch bekannt als DeceptiveDevelopment, verwendet ausgefeilte Social-Engineering-Taktiken, um bedrohliche Software unter dem Deckmantel legitimer Tools oder Interaktionen zu verbreiten.
Inhaltsverzeichnis
Social Engineering im Mittelpunkt des Contagious-Interviews
Die Contagious Interview-Kampagne setzt stark auf Social Engineering, wobei sich die Angreifer als Personalvermittler ausgeben. Sie nutzen Personen aus, die nach Stellen suchen, und verleiten sie dazu, während eines fingierten Bewerbungsverfahrens bösartige Software herunterzuladen. Dies wird durch die Verbreitung kompromittierter Videokonferenzanwendungen oder npm-Pakete erreicht, die auf Plattformen wie GitHub oder offiziellen Paketregistern gehostet werden. Solche Methoden haben die Verbreitung von Malware-Familien wie BeaverTail und InvisibleFerret ermöglicht.
Der Bedrohung auf der Spur
Sicherheitsforscher, die diese Aktivität erstmals im November 2023 dokumentierten, haben die Kampagne unter der Kennung CL-STA-0240 verfolgt. Die Hackergruppe wird auch unter Decknamen wie Famous Chollima und Tenacious Pungsan bezeichnet. Bis September 2024 entdeckten die Forscher bedeutende Updates der Angriffskette, darunter eine weiterentwickelte Version von BeaverTail. Dieses Update führte modulare Funktionen ein und delegierte seine Datendiebstahloperationen an Python-Skripte mit dem gemeinsamen Namen CivetQ.
Unterscheidung zur Operation Dream Job
Trotz der Ähnlichkeiten mit Operation Dream Job, einer anderen nordkoreanischen Cyber-Kampagne, die sich auf berufliche Tätigkeiten bezieht, unterscheidet sich Contagious Interview von anderen Kampagnen. Beide Kampagnen verwenden berufsbezogene Täuschungsmanöver, aber ihre Infektionsmethoden und Toolsets unterscheiden sich. Dies unterstreicht die unterschiedlichen Ansätze, mit denen nordkoreanische Bedrohungsakteure ihre Opfer ins Visier nehmen.
Die Rolle von OtterCookie in der aktualisierten Angriffskette
Jüngste Erkenntnisse haben OtterCookie als kritische Komponente im Arsenal von Contagious Interview hervorgehoben. Die im September 2024 eingeführte Malware arbeitet im Tandem mit BeaverTail und ruft ihre Nutzlast über einen Command-and-Control-Server (C2) ab und führt sie aus. Mithilfe der Socket.IO-JavaScript-Bibliothek kann OtterCookie Shell-Befehle ausführen, um vertrauliche Daten wie Dateien, Inhalte der Zwischenablage und Schlüssel von Kryptowährungs-Wallets zu exfiltrieren.
Weiterentwickelnde Funktionen: OtterCookie-Varianten
Die ursprüngliche Version von OtterCookie enthielt in ihrer Codebasis einen Mechanismus zum direkten Diebstahl von Kryptowährungs-Wallet-Schlüsseln. Eine überarbeitete Variante, die Ende 2024 entdeckt wurde, verlagerte diese Funktion jedoch auf die Remote-Ausführung über Shell-Befehle. Diese Anpassung veranschaulicht die anhaltenden Bemühungen der Angreifer, ihre Tools zu verfeinern und gleichzeitig eine effektive Infektionskette aufrechtzuerhalten.
Auswirkungen kontinuierlicher Tool-Updates
Die Einführung von OtterCookie und seinen aktualisierten Varianten zeigt, dass die Contagious Interview-Kampagne alles andere als stagniert. Indem sie ihre Malware-Fähigkeiten verbessern, ihre Angriffsmethodik jedoch weitgehend unverändert lassen, bestätigen die Bedrohungsakteure den anhaltenden Erfolg und die Anpassungsfähigkeit der Kampagne beim Angriff auf ahnungslose Opfer.
