De Noord -Koreaanse dreigingsacteurs achter de Besmettelijk interview Campagne is waargenomen met behulp van bijgewerkte versies van een platformonafhankelijke malware genaamd OtterCookie met mogelijkheden om referenties te stelen van webbrowsers en andere bestanden.
NTT Security Holdings, die de nieuwe bevindingen beschreven, zei dat de aanvallers “actief en continu” de malware hebben bijgewerkt en versies V3 en V4 in februari en april 2025 hebben geïntroduceerd.
Het Japanse cybersecurity bedrijf volgt het cluster onder de naam Waterplumdie ook bekend staat als CL-Sta-0240, bedrieglijke ontwikkeling, dev#popper, beroemde Chollima, PurpleBravo en vasthoudende pungsan.
OtterCookie werd vorig jaar voor het eerst gedocumenteerd door NTT nadat hij het sinds september 2024 had waargenomen bij aanvallen. Geleverd door middel van een JavaScript -payload via een kwaadaardig NPM -pakket, trojanized GitHub of Bitbucket Repository of een Bogus VideoConferencing -app, het is ontworpen om contact op te nemen met een externe server op commando’s op een compromishost.
OtterCookie V3 is gevonden om een nieuwe uploadmodule op te nemen om bestanden te verzenden die overeenkomen met een vooraf gedefinieerde set extensies naar de externe server. Dit bestaat uit omgevingsvariabelen, afbeeldingen, documenten, spreadsheets, tekstbestanden en bestanden die mnemonische en herstelzinnen bevatten die zijn gekoppeld aan cryptocurrency -portefeuilles.
Het is de moeite waard erop te wijzen dat deze module eerder in OtterCookie V2 is uitgevoerd als een shell -opdracht ontvangen van de server.
De vierde iteratie van de malware breidt zijn voorganger uit door nog twee modules toe te voegen om referenties van Google Chrome te stelen, evenals gegevens uit de Metamask -extensie voor Google Chrome, Brave Browser en iCloud Keychain.
Een andere nieuwe functie -toevoeging aan OtterCookie V4 is de mogelijkheid om te detecteren of het wordt uitgevoerd in Virtual Machine (VM) -omgevingen met betrekking tot Broadcom VMware, Oracle VirtualBox, Microsoft en QEMU.
Interessant is dat het is gebleken dat de eerste Stealer -module die verantwoordelijk is voor het verzamelen van Google Chrome -referenties, dit doet na het decoderen, terwijl de tweede module -oogsten inloggegevens van browsers als Chrome en Brave gecodeerde.
“Dit verschil in gegevensverwerking of coderingsstijl impliceert dat deze modules zijn ontwikkeld door verschillende ontwikkelaars,” zeiden onderzoekers Masaya Motoda en Rintaro Koike.
De openbaarmaking komt omdat meerdere kwaadaardige ladingen met betrekking tot de besmettelijke interviewcampagne de afgelopen maanden zijn opgegraven, wat aangeeft dat de dreigingsactoren hun modus operandi verfijnen.
Dit omvat een op go gebaseerde informatie-staler die wordt geleverd onder het mom van een Realtek Driver Update (“Webcam.zip”)), wanneer geopend, een shell-script organiseert dat verantwoordelijk is voor het downloaden van de Stealer en het lanceren van een misleidende macOS-applicatie (“DriverminupDate.App”) ontwikkelde om het MacOS-systeem van het slachtoffer te oogsten.
Er wordt aangenomen dat de malware werd gedistribueerd als onderdeel van een bijgewerkte versie van het activiteitencodeaam Clickfake-interview door Sekoia vorige maand vanwege het gebruik van clickfix-stijl kunstaas om niet-bestaande audio- en videoproblemen op te lossen tijdens een online beoordeling voor een sollicitatiegesprek voor een sollicitatiegesprek.
“De primaire rol van de stealer is om een persistent C2 -kanaal op te zetten, het geïnfecteerde systeem te profileren en gevoelige gegevens te exfiltreren,” zei MACPAW’s cybersecurity -divisie, Moonlock. “Het bereikt dit door een combinatie van systeemverkenning, diefstal van referenties en externe commando -uitvoering.”
Er wordt beoordeeld dat de applicatie -driverminupdate deel uitmaakt van een grotere set van vergelijkbare kwaadaardige apps die zijn ontdekt door DMPDump, Sentinelone, Enki en Kandji zoals ChromeupDateAlert, Chromeupdate, CameraAccess en CourseAsy.
Een tweede nieuwe malware-familie die op de campagne is verbonden, is tsunami-framework, dat wordt geleverd als een follow-up lading aan een bekende Python-achterdeur die onzichtbaar is genoemd. A .NET-gebaseerde modulaire malware, het is uitgerust om een breed scala aan gegevens te stelen van webbrowsers en cryptocurrency-portefeuilles.
Het bevat ook functies om toetsaanslagen te loggen, bestanden te verzamelen en zelfs een botnetcomponent die onder vroege ontwikkeling lijkt te zijn, zei Herolutions van het Duitse beveiligingsbedrijf in een rapport dat eind vorige maand werd gepubliceerd.
Breidse interview, Per Eset, wordt beschouwd als een nieuw activiteitscluster dat deel uitmaakt van de Lazarus-groep, een beruchte hackgroep uit Noord-Korea, die een legendarische geschiedenis heeft van het orkestreren van zowel spionage- als financieel gemotiveerde aanvallen als een manier om de strategische doelen van het land te bevorderen en internationale sancties te stimuleren.
Eerder dit jaar werd het tegenstandercollectief toegeschreven aan de recordbrekende miljard dollar overval van Cryptocurrency Platform Bybit.
De Noord -Koreaanse IT -werknemer dreigt door te gaan
De bevindingen komen als Cybersecurity Company Sophos onthulde dat de dreigingsacteurs achter het frauduleuze IT -werknemersschema uit Noord -Korea – ook bekend als beroemde Chollima, Nickel Tapestry en Wagemole – zijn begonnen met meer organisaties in Europa en Azië, en industrieën buiten de technologiesector om banen te beveiligen en de opbrengsten van Pyongyang te beveiligen.
“Gedurende de pre-dienstfase manipuleren de dreigingsactoren vaak digitaal foto’s voor hun vervalste cv’s en LinkedIn-profielen, en bij het bijgaan van eerdere werkgeschiedenis of groepsprojectclaims,” zei de SecureWorks Counter Threat Unit (CTU van het bedrijf van het bedrijf.
“Ze gebruiken meestal stockfoto’s die zijn bedekt met echte afbeeldingen van zichzelf. De dreigingsacteurs hebben ook het gebruik van generatieve AI verhoogd, inclusief schrijfhulpmiddelen, gereedschappen voor beeldbewerking en cv-bouwers.”
De frauduleuze werknemers, bij het landen van een baan, zijn ook gevonden met behulp van muis jiggler-hulpprogramma’s, VPN-software zoals Astrill VPN en KVM over IP voor externe toegang, in sommige gevallen zelfs hun toevlucht tot acht uur lang zoom-oproepen voor schermuitwisseling.
Vorige week onthulde cryptocurrency-uitwisselingsplatform Kraken hoe een routinematig sollicitatiegesprek voor een technische functie werd omgezet in een inlichtingenverzameling nadat het een Noord-Koreaanse hacker zag die probeerde het bedrijf te infiltreren met behulp van de naam Steven Smith.
“De kandidaat gebruikte externe colocated Mac -desktops maar interactie met andere componenten via een VPN, een opstelling die gewoonlijk wordt ingezet om locatie- en netwerkactiviteit te verbergen,” zei het bedrijf. “Hun cv was gekoppeld aan een GitHub -profiel met een e -mailadres dat is blootgesteld in een datalek in het verleden.”
“De primaire vorm van ID van de kandidaat leek te worden gewijzigd, waarschijnlijk met behulp van details gestolen in een identiteitsdiefstalzaak twee jaar eerder.”
Maar in plaats van de aanvraag van de kandidaat ronduit af te wijzen, zei Kraken dat zijn beveiligings- en wervingsteams hen “strategisch” door zijn interviewproces hebben geavanceerd als manier om hen te vangen door hen te vragen om hun locatie te bevestigen, een door de overheid uitgegeven ID te houden en enkele lokale restaurants in de stad aan te bevelen waarin ze beweerden te zijn.
“Wrenkt en overbrugd, worstelden ze met de basisverificatietests en konden geen overtuigend realtime vragen beantwoorden over hun stad van verblijf of land van burgerschap,” zei Kraken. “Tegen het einde van het interview was de waarheid duidelijk: dit was geen legitieme aanvrager, maar een bedrieger die probeerde onze systemen te infiltreren.”
In een ander geval gedocumenteerd door het Amerikaanse ministerie van Justitie (DOJ) vorige maand, pleitte een 40-jarige man uit Maryland, Minh Phuong Ngoc Vong, schuldig aan fraude na het beveiligen van een baan bij een overheidscontractant en vervolgens uitbesteed aan het werk aan een Noord-Koreaanse nationale die in Shenyang, China, achteruitgaand op de illegale fungrade-activiteiten.
Het vermogen van Noord -Korea om duizenden werknemers stealthily naar grote bedrijven te glijden, vaak met de hulp van facilitators die een laptopboerderij runnen, heeft geleid tot herhaalde waarschuwingen uit Japans, Zuid -Koreaans, het VK en de Amerikaanse regeringen.
Deze werknemers bleken tot 14 maanden in een organisatie door te brengen, waarbij de dreigingsactoren ook diefstal en afpersingsdreigingen na beëindiging aangaan.
“Organisaties (moeten) stellen verbeterde identiteitsverificatieprocedures op als onderdeel van hun interviewproces,” zei Sophos. “Personeel en recruiters moeten regelmatig worden bijgewerkt over tactieken die in deze campagnes worden gebruikt om hen te helpen potentiële frauduleuze Noord -Koreaanse IT -werknemers te identificeren.”
“Bovendien moeten organisaties controleren op traditionele insider -dreigingsactiviteit, verdacht gebruik van legitieme hulpmiddelen en onmogelijke reismeldingen om activiteiten te detecteren die vaak geassocieerd zijn met frauduleuze werknemers.”
