افشاگری: هکرهای کره شمالی با بدافزار OtterCookie در کمپین‌ های استخدامی جاسوسی می‌کنند!

به گزارش زوم تک از The Hacker News، هکرهای کره شمالی که پشت کمپین “مصاحبه آلوده” هستند، در حال استفاده از یک بدافزار جاوا اسکریپت جدید به نام OtterCookie هستند.

کمپین “مصاحبه آلوده” (یا DeceptiveDevelopment) به یک کمپین حمله مداوم اشاره دارد که از ترفندهای مهندسی اجتماعی استفاده می‌کند. در این کمپین، هکرها اغلب خود را به عنوان استخدام کننده معرفی می‌کنند تا افرادی را که به دنبال فرصت‌های شغلی هستند، فریب دهند و آنها را وادار به دانلود بدافزار تحت پوشش یک فرآیند مصاحبه کنند.

این کار شامل توزیع برنامه‌های ویدئو کنفرانس یا بسته‌های npm آلوده به بدافزار است که یا در GitHub یا در ثبت بسته رسمی میزبانی می‌شوند و راه را برای استقرار بدافزارهایی مانند BeaverTail و InvisibleFerret هموار می‌کند.

واحد ۴۲ پالو آلتو نتورکز، که برای اولین بار این فعالیت را در نوامبر ۲۰۲۳ افشا کرد، این گروه را با نام CL-STA-0240 ردیابی می‌کند. همچنین با نام‌های Famous Chollima و Tenacious Pungsan نیز شناخته می‌شود.

در سپتامبر ۲۰۲۴، شرکت امنیت سایبری سنگاپوری Group-IB اولین بازنگری عمده در زنجیره حمله را مستند کرد و به استفاده از نسخه به‌روز شده BeaverTail اشاره کرد که با انتقال عملکرد سرقت اطلاعات خود به مجموعه‌ای از اسکریپت‌های پایتون که به طور کلی با نام CivetQ ردیابی می‌شوند، یک رویکرد ماژولار را اتخاذ می‌کند.

شایان ذکر است که در این مرحله، “مصاحبه آلوده” از “عملیات رویای شغلی” متفاوت ارزیابی می‌شود. “عملیات رویای شغلی” یک کمپین هک طولانی مدت کره شمالی است که از ترفندهای مرتبط با شغل برای آغاز فرآیند عفونت بدافزار استفاده می‌کند.

آخرین یافته‌های شرکت امنیت سایبری ژاپنی NTT Security Holdings نشان می‌دهد که بدافزار جاوا اسکریپت مسئول راه‌اندازی BeaverTail همچنین برای دریافت و اجرای OtterCookie طراحی شده است. گفته می‌شود که این بدافزار جدید در سپتامبر ۲۰۲۴ معرفی شده است و نسخه جدیدی از آن ماه گذشته در طبیعت شناسایی شده است.

OtterCookie پس از اجرا، با استفاده از کتابخانه جاوا اسکریپت Socket.IO ارتباط با یک سرور فرماندهی و کنترل (C2) برقرار می‌کند و منتظر دستورالعمل‌های بیشتر می‌ماند. این بدافزار برای اجرای دستورات پوسته طراحی شده است که سرقت داده‌ها، از جمله فایل‌ها، محتوای کلیپ بورد و کلیدهای کیف پول ارزهای دیجیتال را تسهیل می‌کند.

نسخه قدیمی‌تر OtterCookie که در سپتامبر مشاهده شد، از نظر عملکرد مشابه است، اما یک تفاوت جزئی در پیاده‌سازی دارد که در آن ویژگی سرقت کلید کیف پول ارزهای دیجیتال به طور مستقیم در بدافزار تعبیه شده است، نه به عنوان یک دستور پوسته از راه دور.

این تحول نشانه‌ای از این است که هکرها به طور فعال در حال به‌روزرسانی ابزارهای خود هستند و در عین حال زنجیره عفونت را تا حد زیادی دست نخورده باقی می‌گذارند، که نشانه‌ای مداوم از اثربخشی این کمپین است.

کره جنوبی ۱۵ کره شمالی را به دلیل کلاهبرداری کارگر IT تحریم کرد

این اتفاق در حالی رخ می‌دهد که وزارت امور خارجه کره جنوبی ۱۵ نفر و یک سازمان را در ارتباط با یک طرح کارگر IT کلاهبردار که توسط همتای شمالی آن سازماندهی شده بود، تحریم کرد. این طرح برای تولید غیرقانونی یک منبع درآمد ثابت که می‌تواند به کره شمالی بازگردانده شود، سرقت داده‌ها و حتی در برخی موارد درخواست باج طراحی شده بود.

شواهدی وجود دارد که نشان می‌دهد گروه Famous Chollima پشت عملیات تهدید داخلی نیز هستند. همچنین با نام‌های مختلفی مانند Nickel Tapestry، UNC5267 و Wagemole نیز نامیده می‌شود.

یکی از ۱۵ فرد تحریم شده، کیم ریو سانگ، همچنین در اوایل این ماه توسط وزارت دادگستری ایالات متحده (DoJ) به دلیل مشارکت ادعایی خود در یک توطئه طولانی مدت برای نقض تحریم‌ها و ارتکاب کلاهبرداری سیمی، پولشویی و سرقت هویت با جستجوی غیرقانونی برای استخدام در شرکت‌های آمریکایی و سازمان‌های غیرانتفاعی متهم شد.

همچنین شرکت Chosun Geumjeong Economic Information Technology Exchange توسط وزارت امور خارجه تحریم شد. این شرکت به اعزام تعداد زیادی از پرسنل IT به چین، روسیه، جنوب شرق آسیا و آفریقا برای تامین بودجه برای رژیم با تامین مشاغل آزاد یا تمام وقت در شرکت‌های غربی متهم شده است.

گفته می‌شود که این کارکنان IT بخشی از اداره کل ۳۱۳، سازمانی تحت نظر وزارت صنایع مهمات حزب کارگران کره هستند.

این وزارتخانه اعلام کرد: “اداره کل ۳۱۳ […] بسیاری از پرسنل IT کره شمالی را به خارج از کشور اعزام می‌کند و از ارز خارجی به دست آمده برای تامین بودجه برای توسعه هسته‌ای و موشکی استفاده می‌کند و همچنین در توسعه نرم‌افزار برای بخش نظامی نیز نقش دارد.”

“فعالیت‌های سایبری غیرقانونی کره شمالی نه تنها اعمال مجرمانه‌ای هستند که امنیت اکوسیستم سایبری را تهدید می‌کنند، بلکه تهدیدی جدی برای صلح و امنیت بین‌المللی نیز هستند، زیرا به عنوان بودجه برای توسعه هسته‌ای و موشکی کره شمالی مورد استفاده قرار می‌گیرند.”