OtterCookie マルウェア
Contagious Interview キャンペーンに関係する北朝鮮のサイバー攻撃者が、OtterCookie という新しい JavaScript ベースの脅威を導入しました。DeceptiveDevelopment としても知られるこのキャンペーンは、高度なソーシャル エンジニアリング戦術を使用して、正当なツールややり取りを装って脅威となるソフトウェアを配信します。
目次
伝染性インタビューの核となるソーシャルエンジニアリング
Contagious Interview 攻撃はソーシャル エンジニアリングに大きく依存しており、攻撃者はリクルーターを装っています。彼らは就職希望者を搾取し、偽の面接プロセスで悪意のあるソフトウェアをダウンロードするよう誘い込みます。これは、GitHub などのプラットフォームや公式パッケージ レジストリでホストされている、侵害されたビデオ会議アプリケーションや npm パッケージの配布によって実現されます。このような手法により、BeaverTail や InvisibleFerret などのマルウェア ファミリが展開されました。
脅威の追跡
2023年11月にこの活動を初めて記録したセキュリティ研究者は、識別子CL-STA-0240でこのキャンペーンを追跡してきました。このハッキンググループは、Famous ChollimaやTenacious Pungsanなどの別名でも呼ばれています。2024年9月までに、研究者はBeaverTailの進化版を含む攻撃チェーンの重要な更新を発見しました。この更新によりモジュール機能が導入され、データ盗難操作はCivetQと総称されるPythonスクリプトに委任されました。
ドリームジョブ作戦との違い
Contagious Interview は、北朝鮮の別の職業関連のサイバー攻撃「Operation Dream Job」と類似しているものの、依然として独自のものです。どちらの攻撃も職業をテーマにしたおとり攻撃を使用していますが、感染方法とツールセットは異なります。これは、北朝鮮の脅威アクターが被害者を狙うために使用するアプローチが多様であることを強調しています。
更新された攻撃チェーンにおける OtterCookie の役割
最近の調査結果では、OtterCookie が Contagious Interview の攻撃ツールの重要なコンポーネントであることが明らかになっています。2024 年 9 月に導入されたこのマルウェアは、BeaverTail と連携して動作し、コマンド アンド コントロール (C2) サーバーを介してペイロードを取得して実行します。Socket.IO JavaScript ライブラリを使用して、OtterCookie はシェル コマンドを実行し、ファイル、クリップボードの内容、暗号通貨ウォレット キーなどの機密データを盗み出すことができます。
進化する機能: OtterCookie のバリエーション
OtterCookie の初期バージョンでは、コードベース内に暗号通貨ウォレットのキーを直接盗むメカニズムが組み込まれていました。しかし、2024 年後半に検出された改訂版の亜種では、この機能がシェル コマンドによるリモート実行に変更されました。この変更は、攻撃者が効果的な感染チェーンを維持しながらツールを改良し続ける努力を続けていることを示しています。
継続的なツール更新の影響
OtterCookie とその更新された亜種の登場は、Contagious Interview 攻撃が停滞していないことを示しています。攻撃手法をほとんど変更せずにマルウェア機能を強化することで、脅威アクターは、疑いを持たない被害者を狙う攻撃が引き続き成功し、適応性があることを裏付けています。
