朝鲜黑客使用OtterCookie恶意软件在Contagious Interview活动中

admin 2025年1月1日22:46:48评论20 views字数 1047阅读3分29秒阅读模式
朝鲜黑客使用OtterCookie恶意软件在Contagious Interview活动中

与朝鲜有关的威胁行为者被发现在名为“Contagious Interview”的活动中使用一种新的恶意软件OtterCookie,该活动以假的工作邀约为诱饵,针对软件开发者社区。Palo Alto Networks的研究人员最早在2023年11月详细描述了“Contagious Interview”活动,但该活动至少从2022年12月起就已经活跃。这些攻击似乎是出于经济动机,而不是有针对性的。自2024年11月以来,威胁行为者在该活动中使用了OtterCookie恶意软件,以及BeaverTail和InvisibleFerret。

NTT发布的报告中写道:“自2024年11月左右以来,SOC观察到‘Contagious Interview’活动中除了BeaverTail和InvisibleFerret之外的其他恶意软件的执行。”“我们将新观察到的恶意软件称为OtterCookie,并对其进行了调查。在本文中,我们将介绍OtterCookie及其执行流程和详细行为。”

攻击链条从GitHub或Bitbucket上下载的恶意Node.js项目或npm软件包开始。近期,攻击者还使用了使用Qt或Electron创建的应用程序,这表明威胁行为者正在积极实验。

OtterCookie后门的朝鲜加载器会从远程源下载JSON数据,并将cookie属性作为JavaScript代码执行。攻击者还可能直接下载并执行JavaScript,当发生HTTP 500状态代码时,控制权将传递给catch块。该加载器主要执行BeaverTail,但有时也被观察到运行OtterCookie,或同时运行两者。

OtterCookie最早于2024年11月被观察到,但专家认为它可能从2024年9月起就已经活跃,实现方式略有不同。11月版本通过Socket.IO进行通信,并可以通过socketServer函数执行远程命令,包括执行shell命令和窃取设备信息(whour)。威胁行为者使用shell命令在文档、图像和与加密货币相关的文件中搜索加密货币钱包密钥,然后将这些密钥发送到远程源。攻击者使用ls和cat等命令来检查目标环境。

报告总结道:“‘Contagious Interview’正在积极实验并不断更新其攻击方法,攻击行为也在日本被观察到,因此建议保持谨慎。”报告还包括了危害指标(IoCs)。

原文始发于微信公众号(黑猫安全):朝鲜黑客使用OtterCookie恶意软件在“Contagious Interview”活动中

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月1日22:46:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   朝鲜黑客使用OtterCookie恶意软件在Contagious Interview活动中http://cn-sec.com/archives/3569076.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息