导 读
曹县APT组织在针对软件开发人员的“Contagious Interview”活动中使用了名为 OtterCookie 的新型恶意软件。
据网络安全公司 Palo Alto Networks 的研究人员称,“Contagious Interview”活动至少自 2022 年 12 月以来一直处于活跃状态。该活动针对软件开发人员,提供虚假的工作机会来传播 BeaverTail 和 InvisibleFerret 等恶意软件。
NTT Security Japan 的一份报告指出,Contagious Interview 行动目前正在使用一种名为 OtterCookie 的新型恶意软件,该恶意软件很可能于 9 月推出,并于 11 月出现了一种新的变种。
OtterCookie 攻击链
就像 Palo Alto Networks 的 Unit42 研究人员记录的攻击一样,OtterCookie 通过一个加载器传递,该加载器获取 JSON 数据并将“cookie”属性作为 JavaScript 代码执行。
NTT 表示,尽管 BeaverTail 仍然是最常见的有效载荷,但在某些情况下,OtterCookie 被发现与 BeaverTail 一起部署或单独部署。
该加载程序通过从 GitHub 或 Bitbucket 下载的 Node.js 项目或 npm 包感染目标。不过,最近也使用了以 Qt 或 Electron 应用程序构建的文件。
攻击链,来源:NTT Japan
一旦在目标设备上激活,OtterCookie 就会使用 Socket.IO WebSocket 工具与其命令和控制 (C2) 基础设施建立安全通信,并等待命令。
研究人员观察到执行数据盗窃的 shell 命令(例如收集加密货币钱包密钥、文档、图像和其他有价值信息)。
NTT 解释道: “9 月份的 OtterCookie 版本已经包含了窃取加密货币钱包相关密钥的内置功能。 ”
研究人员指出:“例如,checkForSensitiveData 函数使用正则表达式来检查以太坊私钥”,并补充说,这在恶意软件的 11 月变种中发生了改变,通过远程 shell 命令实现这一点。
针对加密货币的信息,来源:NTT Japan
最新版本的 OtterCookie 还可以向攻击者泄露剪贴板数据,其中可能包含敏感信息。
还检测到了通常用于侦察的命令,例如“ls”和“cat”,这表明攻击者打算探索环境并进行更深层次的渗透或横向移动。
新恶意软件的出现和感染方法的多样化表明“Contagious Interview”活动背后的威胁组织正在尝试新的策略。
软件开发人员应该尝试验证有关潜在雇主的信息,并警惕在需要编码测试的工作机会中在个人或工作电脑上运行代码。
技术报告:
https://jp.security.ntt/tech_blog/contagious-interview-ottercookie
新闻链接:
https://www.bleepingcomputer.com/news/security/new-ottercookie-malware-used-to-backdoor-devs-in-fake-job-offers/
今日安全资讯速递
APT事件
Advanced Persistent Threat
曹县APT组织利用虚假工作机会部署新型“OtterCookie”恶意软件针对开发人员
https://www.bleepingcomputer.com/news/security/new-ottercookie-malware-used-to-backdoor-devs-in-fake-job-offers/
曹县LazarusAPT组织被发现利用 CookiePlus 恶意软件攻击核工程师
https://thehackernews.com/2024/12/lazarus-group-spotted-targeting-nuclear.html
曹县黑客今年窃取了价值 13 亿美元的加密货币
https://www.bleepingcomputer.com/news/security/north-korean-hackers-stole-13-billion-worth-of-crypto-this-year/
日美指责曹县黑客抢劫 3.08 亿美元加密货币
https://www.infosecurity-magazine.com/news/us-japan-north-korea-crypto-heist/
伊朗迷人小猫部署 BellaCPP:BellaCiao 恶意软件的新 C++ 变体
https://thehackernews.com/2024/12/irans-charming-kitten-deploys-bellacpp.html
一般威胁事件
General Threat Incidents
巴西黑客入侵 30 万个账户,勒索 320 万美元比特币
https://thehackernews.com/2024/12/brazilian-hacker-charged-for-extorting.html
ESET报告称,Lumma 信息窃取恶意程序检测量飙升近 400%
https://www.infosecurity-magazine.com/news/infostealers-lumma-stealer/
印度铁路网站本月第二次崩溃,导致全印度特快车票预订中断
https://thecyberexpress.com/irctc-outage-disrupts-tatkal-bookings/
日本航空遭遇网络攻击,导致航班延误和取消
https://cybernews.com/news/japan-airlines-jal-cyberattack-flight-delays-cancellations/
技术问题导致美国航空短暂停飞美国境内航班
https://www.theregister.com/2024/12/24/american_airlines_grounds/
勒索软件攻击导致匹兹堡区域交通运输服务中断
https://securityaffairs.com/172333/cyber-crime/pittsburgh-regional-transit-ransomware-attack.html
漏洞事件
Vulnerability Incidents
Apache 警告 MINA、HugeGraph 和 Traffic Control 存在严重缺陷
https://www.bleepingcomputer.com/news/security/apache-warns-of-critical-flaws-in-mina-hugegraph-traffic-control/
Apache Traffic Control 中的严重 SQL 注入漏洞 CVSS 评分为 9.9
https://thehackernews.com/2024/12/critical-sql-injection-vulnerability-in.html
Adobe 警告 ColdFusion 存在严重漏洞,并附带 PoC 漏洞代码
https://www.bleepingcomputer.com/news/security/adobe-warns-of-critical-coldfusion-bug-with-poc-exploit-code/
不安全的物联网云再次来袭:Reyee平台连接设备遭 RCE 攻击
https://claroty.com/team82/research/the-insecure-iot-cloud-strikes-again-rce-on-ruijie-cloud-connected-devices
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):曹县APT组织利用虚假工作机会部署新型“OtterCookie”恶意软件针对开发人员
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论