Aktor ancaman Korea Utara di balik kampanye Wawancara Menular yang sedang berlangsung telah diamati menjatuhkan malware JavaScript baru yang disebut kue berang-berang.
Wawancara Menular (alias DeceptiveDevelopment) mengacu pada kampanye serangan terus-menerus yang menggunakan umpan rekayasa sosial, dengan kru peretas sering menyamar sebagai perekrut untuk mengelabui individu yang mencari peluang kerja potensial agar mengunduh malware dengan berkedok proses wawancara.
Hal ini melibatkan pendistribusian aplikasi konferensi video atau paket npm yang mengandung malware, baik yang dihosting di GitHub atau registri paket resmi, sehingga membuka jalan bagi penyebaran malware seperti BeaverTail dan InvisibleFerret.
Palo Alto Networks Unit 42, yang pertama kali mengungkap aktivitas tersebut pada November 2023, sedang melacak cluster tersebut dengan nama CL-STA-0240. Itu juga disebut sebagai Chollima Terkenal dan Pungsan Ulet.
Pada bulan September 2024, perusahaan keamanan siber Singapura Group-IB mendokumentasikan revisi besar pertama pada rantai serangan, menyoroti penggunaan versi terbaru BeaverTail yang mengadopsi pendekatan modular dengan memindahkan fungsi pencurian informasinya ke serangkaian skrip Python yang secara kolektif dilacak sebagai LuwakQ.
Perlu dicatat pada tahap ini bahwa Contagious Interview dinilai berbeda dari Operation Dream Job, kampanye peretasan Korea Utara lainnya yang sudah berjalan lama dan juga menggunakan umpan terkait pekerjaan serupa untuk memicu proses infeksi malware.
Temuan terbaru dari perusahaan keamanan siber Jepang NTT Security Holdings mengungkapkan bahwa malware JavaScript yang bertanggung jawab meluncurkan BeaverTail juga dirancang untuk mengambil dan mengeksekusi OtterCookie. Malware baru ini dikatakan telah diperkenalkan pada September 2024, dengan versi baru terdeteksi secara liar pada bulan lalu.
OtterCookie, saat dijalankan, menjalin komunikasi dengan server perintah-dan-kontrol (C2) menggunakan pustaka JavaScript Socket.IO, dan menunggu instruksi lebih lanjut. Ini dirancang untuk menjalankan perintah shell yang memfasilitasi pencurian data, termasuk file, konten clipboard, dan kunci dompet mata uang kripto.
Varian OtterCookie lama yang terlihat pada bulan September memiliki fungsi serupa, namun memiliki sedikit perbedaan implementasi di mana fitur pencurian kunci dompet mata uang kripto langsung dimasukkan ke dalam malware, bukan perintah shell jarak jauh.
Perkembangan ini merupakan tanda bahwa para pelaku ancaman secara aktif memperbarui alat mereka tanpa menyentuh sebagian besar rantai infeksi, yang merupakan tanda lanjutan dari efektivitas kampanye ini.
Korea Selatan Memberi Sanksi kepada 15 Warga Korea Utara karena Penipuan Pekerja IT
Hal ini juga terjadi ketika Kementerian Luar Negeri (Kemenlu) Korea Selatan memberikan sanksi kepada 15 individu dan satu organisasi sehubungan dengan skema penipuan pekerja TI yang dirancang oleh mitranya di wilayah utara untuk secara ilegal menghasilkan sumber pendapatan tetap yang dapat disalurkan kembali ke Korea Utara, mencuri. data, dan bahkan meminta uang tebusan dalam beberapa kasus.
Ada bukti yang menunjukkan bahwa kelompok ancaman Chollima Terkenal juga berada di balik operasi ancaman orang dalam. Disebut juga dengan berbagai nama, seperti Nickel Tapestry, UNC5267, dan Wagemole.
Salah satu dari 15 orang yang terkena sanksi, Kim Ryu Song, juga didakwa oleh Departemen Kehakiman AS (DoJ) awal bulan ini atas dugaan keterlibatannya dalam konspirasi jangka panjang untuk melanggar sanksi dan melakukan penipuan kawat, pencucian uang, dan pencurian identitas. dengan mencari pekerjaan secara ilegal di perusahaan-perusahaan AS dan organisasi nirlaba.
Yang juga dikenakan sanksi oleh Kementerian Luar Negeri adalah Perusahaan Pertukaran Teknologi Informasi Ekonomi Chosun Geumjeong, yang dituduh mengirimkan sejumlah besar personel TI ke Tiongkok, Rusia, Asia Tenggara, dan Afrika untuk mendapatkan dana bagi rezim tersebut dengan mendapatkan pekerjaan lepas atau penuh waktu. di perusahaan-perusahaan Barat.
Para pekerja IT ini konon merupakan bagian dari Biro Umum ke-313, sebuah organisasi di bawah Departemen Industri Amunisi Partai Pekerja Korea.
“Biro Umum ke-313 […] mengirimkan banyak personel TI Korea Utara ke luar negeri dan menggunakan mata uang asing yang diperoleh untuk mendapatkan dana bagi pengembangan nuklir dan rudal, dan juga terlibat dalam pengembangan perangkat lunak untuk sektor militer,” kata kementerian tersebut.
“Aktivitas siber ilegal Korea Utara tidak hanya merupakan tindakan kriminal yang mengancam keselamatan ekosistem siber, tetapi juga menimbulkan ancaman serius bagi perdamaian dan keamanan internasional karena digunakan sebagai dana untuk pengembangan nuklir dan rudal Korea Utara.”
