OtterCookie: новая угроза от северокорейской Lazarus Group
Недавнее исследование выявило новую вредоносную программу OtterCookie, которую связывают с Lazarus Group — киберпреступной организацией, спонсируемой государством Северной Кореи. Эта сложная программа направлена на кражу учетных данных, криптокошельков и конфиденциальной информации работников технологического и финансового секторов.
Маскировка и методы распространения
OtterCookie распространяется с помощью тщательно продуманной социальной инженерии. Кампания, получившая название «Заразительное интервью», использует поддельные предложения о работе и имитирует задачи по коду, чтобы проникнуть в целевые системы. Для снижения подозрений вредоносная программа маскируется под легитимные Node.js репозитории.
Особое внимание стоит уделить уникальной схеме запуска вредоносного кода. Программа искусственно вызывает ошибку в Node.js-сервере, чтобы инициировать загрузку вредоносных компонентов с внешнего API. Такой подход позволяет обойти стандартные механизмы защиты, увеличивая шансы остаться незамеченной.
Что атакует OtterCookie?
Вредоносная программа ориентирована на сбор следующих данных:
- учетные данные браузера, сохранённые в различных профилях;
- цепочки ключей macOS;
- информацию о криптовалютных кошельках, включая Solana и Exodus.
После успешного сбора данные сжимаются и отправляются на командно-диспетчерский сервер (C2), расположенный в США, через порт 1224. Этот способ передачи данных совпадает с тактиками, применяемыми в предыдущих кампаниях Lazarus, таких как Beavertail и InvisibleFerret.
Дальнейшая фаза атаки и связь с InvisibleFerret
После первичного сбора данных OtterCookie загружает и устанавливает троян удаленного доступа InvisibleFerret (RAT), который обеспечивает постоянный контроль над заражёнными системами. Этот этап демонстрирует тесную взаимосвязь вредоносных инструментов в арсенале Lazarus Group и подчеркивает их фокус на кражах, связанных с криптовалютами — важной составляющей схем по отмыванию денег и поддержанию анонимности.
Соответствие стандартам MITRE ATT&CK
Поведение OtterCookie напрямую коррелирует с несколькими техниками из платформы MITRE ATT&CK:
- сбор системной информации;
- сброс и кража учетных данных операционной системы;
- использование протоколов прикладного уровня для эксфильтрации данных.
Выводы и рекомендации
Эволюция угрозы в лице OtterCookie демонстрирует возрастающую изощренность методов Lazarus Group. Особенно опасной становится комбинация социальной инженерии и технических подходов к маскировке, нацеленная на финансово выгодные сектора.
Кибербезопасность требует повышенного внимания и внедрения комплексных мер защиты, включая:
- повышение осведомленности сотрудников о фишинговых атаках и поддельных вакансиях;
- контроль целостности кода и репозиториев;
- использование многофакторной аутентификации для защиты учетных данных;
- регулярный мониторинг сетевого трафика на подозрительную активность;
- переход на современные системы защиты, учитывающие тактики ATT&CK.
Только комплексный и информированный подход позволит эффективно противостоять таким продвинутым угрозам, как OtterCookie, и защитить критически важные активы компаний.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "OtterCookie: новая угроза Lazarus Group для технологий и финансов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.