北朝鮮の脅威行為者は、ソフトウェア開発者を標的としたContagious Interviewキャンペーンで、OtterCookieと呼ばれる新しいマルウェアを使用している。
サイバーセキュリティ企業Palo Alto Networksの研究者によると、Contagious Interviewは少なくとも2022年12月から活動しています。このキャンペーンは、BeaverTailやInvisibleFerretなどのマルウェアを配信するために、偽の求人でソフトウェア開発者をターゲットにしています。
NTTセキュリティ・ジャパンのレポートによると、Contagious Interviewの作戦は現在、OtterCookieと呼ばれる新しいマルウェアを使用しているとのことです。
OtterCookieの攻撃チェーン
Palo Alto NetworksのUnit42リサーチャーによって文書化された攻撃と同様に、OtterCookieはJSONデータをフェッチし、JavaScriptコードとして「Cookie」プロパティを実行するローダーを介して配信される。
NTTによると、BeaverTailが依然として最も一般的なペイロードであるにもかかわらず、OtterCookieはBeaverTailと一緒に、あるいは単独で展開されるケースも見られるという。
このローダーは、GitHubやBitbucketからダウンロードしたNode.jsプロジェクトやnpmパッケージを通じてターゲットに感染する。しかし、最近ではQtやElectronアプリケーションとしてビルドされたファイルも使用されている。
Source:NTTジャパン
ターゲット・デバイス上でアクティブになると、OtterCookieはSocket.IO WebSocketツールを使用してコマンド・アンド・コントロール(C2)インフラストラクチャとの安全な通信を確立し、コマンドを待ち受けます。
研究者は、データ窃盗(暗号通貨のウォレットキー、文書、画像、その他の貴重な情報の収集など)を実行するシェルコマンドを観測した。
「OtterCookieの9月のバージョンには、暗号通貨ウォレットに関連するキーを盗む機能がすでに組み込まれていました」とNTTは説明する。
「例えば、checkForSensitiveData関数は、イーサリアムの秘密鍵をチェックするために正規表現を使用していました。
Source:NTTジャパン
OtterCookieの最新バージョンは、機密情報を含む可能性のあるクリップボードデータを脅威当事者に流出させることもできる。
ls」や「cat」のような、通常偵察に使用されるコマンドも検出されており、攻撃者が環境を探索し、より深い侵入や横移動のためのステージアップを意図していることを示している。
新たなマルウェアの出現や感染手法の多様化は、「Contagious Interview」キャンペーンの背後にいる脅威行為者が新たな戦術を試していることを示しています。
ソフトウェア開発者は、潜在的な雇用主に関する情報を確認するように努め、コーディング・テストを必要とする仕事のオファーの一部として、個人または職場のコンピュータ上でコードを実行することに警戒する必要があります。
Comments