与朝鲜有关的威胁行为者被发现在名为“Contagious Interview”的活动中使用一种新的恶意软件OtterCookie,该活动以假的工作邀约为诱饵,针对软件开发者社区。Palo Alto Networks的研究人员最早在2023年11月详细描述了“Contagious Interview”活动,但该活动至少从2022年12月起就已经活跃。这些攻击似乎是出于经济动机,而不是有针对性的。自2024年11月以来,威胁行为者在该活动中使用了OtterCookie恶意软件,以及BeaverTail和InvisibleFerret。
NTT发布的报告中写道:“自2024年11月左右以来,SOC观察到‘Contagious Interview’活动中除了BeaverTail和InvisibleFerret之外的其他恶意软件的执行。”“我们将新观察到的恶意软件称为OtterCookie,并对其进行了调查。在本文中,我们将介绍OtterCookie及其执行流程和详细行为。”
攻击链条从GitHub或Bitbucket上下载的恶意Node.js项目或npm软件包开始。近期,攻击者还使用了使用Qt或Electron创建的应用程序,这表明威胁行为者正在积极实验。
OtterCookie后门的朝鲜加载器会从远程源下载JSON数据,并将cookie属性作为JavaScript代码执行。攻击者还可能直接下载并执行JavaScript,当发生HTTP 500状态代码时,控制权将传递给catch块。该加载器主要执行BeaverTail,但有时也被观察到运行OtterCookie,或同时运行两者。
OtterCookie最早于2024年11月被观察到,但专家认为它可能从2024年9月起就已经活跃,实现方式略有不同。11月版本通过Socket.IO进行通信,并可以通过socketServer函数执行远程命令,包括执行shell命令和窃取设备信息(whour)。威胁行为者使用shell命令在文档、图像和与加密货币相关的文件中搜索加密货币钱包密钥,然后将这些密钥发送到远程源。攻击者使用ls和cat等命令来检查目标环境。
报告总结道:“‘Contagious Interview’正在积极实验并不断更新其攻击方法,攻击行为也在日本被观察到,因此建议保持谨慎。”报告还包括了危害指标(IoCs)。
原文始发于微信公众号(黑猫安全):朝鲜黑客使用OtterCookie恶意软件在“Contagious Interview”活动中
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论