Aktor ancaman Korea Utara di belakang Wawancara menular Kampanye telah diamati menggunakan versi terbaru dari malware lintas platform yang disebut Ottercookie dengan kemampuan untuk mencuri kredensial dari browser web dan file lainnya.
NTT Security Holdings, yang merinci temuan baru, mengatakan para penyerang telah “secara aktif dan terus menerus” memperbarui malware, memperkenalkan versi V3 dan V4 masing -masing pada bulan Februari dan April 2025.
Perusahaan Cybersecurity Jepang melacak cluster dengan nama Waterplumyang juga dikenal sebagai CL-STA-0240, Development, Dev#Popper, Chollima Terkenal, Purplebravo, dan Pungsan Tenacious.
Ottercookie pertama kali didokumentasikan oleh NTT tahun lalu setelah mengamatinya dalam serangan sejak September 2024. Diberikan dengan cara muatan JavaScript melalui paket NPM yang berbahaya, Trojanized Github atau Repositori Bitbucket, atau Comment Execute Comment yang dikonsumsi oleh BOGUS, yang dirancang untuk menghubungi server eksternal untuk mengeksekusi yang terdiri dari Bogus.
Ottercookie V3 telah ditemukan untuk menggabungkan modul unggahan baru untuk mengirim file yang cocok dengan satu set ekstensi yang telah ditentukan ke server eksternal. Ini terdiri dari variabel lingkungan, gambar, dokumen, spreadsheet, file teks, dan file yang berisi frasa mnemonik dan pemulihan yang terkait dengan dompet cryptocurrency.
Perlu ditunjukkan bahwa modul ini sebelumnya dieksekusi di Ottercookie V2 sebagai perintah shell yang diterima dari server.
Iterasi keempat malware mengembang pada pendahulunya dengan menambahkan dua modul lagi untuk mencuri kredensial dari Google Chrome, serta mengekstrak data dari ekstensi Metamask untuk Google Chrome, Brave Browser, dan Keychain iCloud.
Penambahan fitur baru lainnya untuk Ottercookie V4 adalah kemampuan untuk mendeteksi jika sedang dieksekusi dalam lingkungan Virtual Machine (VM) yang berkaitan dengan Broadcom VMware, Oracle VirtualBox, Microsoft, dan QEMU.
Menariknya, telah ditemukan bahwa modul pencuri pertama yang bertanggung jawab untuk mengumpulkan kredensial Google Chrome melakukannya setelah mendekripsi mereka, sedangkan modul kedua memanen data login terenkripsi dari browser seperti Chrome dan Brave.
“Perbedaan dalam pemrosesan data atau gaya pengkodean ini menyiratkan bahwa modul -modul ini dikembangkan oleh pengembang yang berbeda,” kata peneliti Masaya Motoda dan Rintaro Koike.
Pengungkapan itu datang sebagai beberapa muatan berbahaya yang terkait dengan kampanye wawancara menular telah digali dalam beberapa bulan terakhir, menunjukkan bahwa aktor ancaman menyempurnakan modus operandi mereka.
Ini termasuk pencuri informasi berbasis GO yang disampaikan dengan kedok pembaruan driver realtek (“webcam.zip”) yang, ketika dibuka, menjalankan skrip shell yang bertanggung jawab untuk mengunduh pencuri dan meluncurkan aplikasi macOS yang menipu (“driverminupdate.app”) yang direkayasa untuk memanen kata sandi sistem macOS korban.
Dipercaya bahwa malware didistribusikan sebagai bagian dari versi terbaru dari aktivitas yang diberi nama kode wawancara Clickfake oleh Sekoia bulan lalu karena penggunaan umpan gaya clickfix untuk memperbaiki masalah audio dan video yang tidak ada selama penilaian online untuk proses wawancara kerja.
“Peran utama pencuri adalah untuk membangun saluran C2 yang persisten, profil sistem yang terinfeksi, dan exfiltrate data sensitif,” kata divisi keamanan siber MacPaw, Moonlock, mengatakan. “Ini mencapai ini melalui kombinasi pengintaian sistem, pencurian kredensial, dan eksekusi perintah jarak jauh.”
Dinilai bahwa aplikasi DriverminUpdate adalah bagian dari serangkaian aplikasi jahat serupa yang lebih besar yang telah ditemukan oleh DMPDUMP, Sentinelone, Enki, dan Kandji seperti ChromeUpdateAlert, ChromeUpdate, Cameracess, dan Drivereasy.
Keluarga malware baru kedua yang terhubung dengan kampanye ini adalah Tsunami-Framework, yang dikirimkan sebagai muatan tindak lanjut ke pintu belakang Python yang diketahui disebut sebagai Invisible. Malware modular berbasis.
Ini juga menggabungkan fitur untuk mencatat penekanan tombol, mengumpulkan file, dan bahkan komponen botnet yang tampaknya berada di bawah pengembangan awal, perusahaan keamanan Jerman mengatakan dalam sebuah laporan yang diterbitkan akhir bulan lalu.
Wawancara menular, per ESET, diyakini sebagai kelompok kegiatan baru yang merupakan bagian dari kelompok Lazarus, kelompok peretasan terkenal dari Korea Utara yang memiliki sejarah bertingkat untuk mengatur baik serangan spionase dan finansial yang termotivasi sebagai cara untuk memajukan tujuan strategis negara dan menghindari sanksi internasional.
Awal tahun ini, kolektif permusuhan disebabkan oleh pencurian miliaran dolar yang memecahkan rekor dari platform cryptocurrency Bybit.
Ancaman pekerja TI Korea Utara bertahan
Temuan ini datang ketika perusahaan cybersecurity Sophos mengungkapkan bahwa aktor ancaman di balik skema pekerja TI yang curang dari Korea Utara – juga dikenal sebagai Chollima terkenal, tapestry nikel, dan Wagemole – telah mulai menargetkan organisasi di Eropa dan Asia, dan industri di luar sektor teknologi untuk mengamankan pekerjaan dan menyalurkan hasilnya ke Pyongyang.
“Sepanjang fase pra-kerja, para aktor ancaman sering memanipulasi foto secara digital untuk resume yang dipalsukan dan profil LinkedIn, dan untuk menemani riwayat kerja sebelumnya atau klaim proyek kelompok,” kata Unit Ancaman Counter (CTU) SecureWorks perusahaan.
“Mereka biasanya menggunakan stok foto yang dilapisi dengan gambar-gambar nyata dari diri mereka sendiri. Aktor ancaman juga telah meningkatkan penggunaan AI generatif, termasuk alat penulisan, alat pengeditan gambar, dan melanjutkan pembangun.”
Pekerja yang curang, setelah mendapatkan pekerjaan, juga telah ditemukan menggunakan utilitas mouse jiggler, perangkat lunak VPN seperti Astrill VPN, dan KVM melalui IP untuk akses jarak jauh, dalam beberapa kasus bahkan menggunakan seruan zoom selama delapan jam untuk berbagi layar.
Pekan lalu, platform pertukaran cryptocurrency Kraken mengungkapkan bagaimana wawancara kerja rutin untuk posisi teknik berubah menjadi operasi pengumpulan intelijen setelah melihat seorang peretas Korea Utara yang mencoba menyusup ke perusahaan menggunakan nama Steven Smith.
“Kandidat menggunakan desktop MAC colocated jarak jauh tetapi berinteraksi dengan komponen lain melalui VPN, sebuah pengaturan yang biasanya digunakan untuk menyembunyikan lokasi dan aktivitas jaringan,” kata perusahaan itu. “Resume mereka ditautkan ke profil GitHub yang berisi alamat email yang diekspos dalam pelanggaran data masa lalu.”
“Bentuk ID utama kandidat tampaknya diubah, kemungkinan menggunakan detail yang dicuri dalam kasus pencurian identitas dua tahun sebelumnya.”
Tetapi alih-alih menolak aplikasi kandidat secara langsung, Kraken mengatakan tim keamanan dan perekrutannya “secara strategis” memajukan mereka melalui proses wawancara sebagai cara untuk menjebak mereka dengan meminta mereka untuk mengkonfirmasi lokasi mereka, menahan ID yang dikeluarkan pemerintah, dan merekomendasikan beberapa restoran lokal di kota yang mereka klaim berada.
“Bingung dan tertangkap basah, mereka berjuang dengan tes verifikasi dasar, dan tidak dapat dengan meyakinkan menjawab pertanyaan real-time tentang kota tempat tinggal atau negara kewarganegaraan mereka,” kata Kraken. “Pada akhir wawancara, kebenarannya jelas: ini bukan pelamar yang sah, tetapi penipu yang berusaha menyusup ke sistem kami.”
Dalam kasus lain yang didokumentasikan oleh Departemen Kehakiman AS (DOJ) bulan lalu, seorang pria Maryland yang berusia 40 tahun, Minh Phuong Ngoc Vong, mengaku bersalah atas penipuan setelah mengamankan pekerjaan dengan kontraktor pemerintah dan kemudian mengalihdayakan pekerjaan ke sebuah nasional Korea Utara yang tinggal di Shenyang, Cina-yang melampaui keparahan kegiatan dana yang ilegal.
Kemampuan Korea Utara untuk secara diam -diam menyelipkan ribuan pekerjanya ke perusahaan -perusahaan besar, seringkali dengan bantuan fasilitator yang menjalankan apa yang disebut pertanian laptop, telah menyebabkan peringatan berulang -ulang dari pemerintah Jepang, Korea Selatan, Inggris, dan AS.
Para pekerja ini telah ditemukan menghabiskan hingga 14 bulan di dalam sebuah organisasi, dengan para aktor ancaman juga terlibat dalam pencurian data dan ancaman pemerasan setelah penghentian.
“Organisasi [should] Menetapkan prosedur verifikasi identitas yang ditingkatkan sebagai bagian dari proses wawancara mereka, “kata Sophos.” Staf sumber daya manusia dan perekrut harus diperbarui secara teratur tentang taktik yang digunakan dalam kampanye ini untuk membantu mereka mengidentifikasi potensi pekerja TI Korea Utara yang curang. “
“Selain itu, organisasi harus memantau aktivitas ancaman orang dalam tradisional, penggunaan alat yang sah yang mencurigakan, dan peringatan perjalanan yang mustahil untuk mendeteksi aktivitas yang sering dikaitkan dengan pekerja yang curang.”
