Se ha observado que los actores de amenazas norcoreanos detrás de la contemporáneo campaña Contagious Interview lanzan un nuevo malware JavaScript llamado nutriagalleta.
Contagious Interview (incluso conocido como DeceivedDevelopment) se refiere a una campaña de ataque persistente que emplea señuelos de ingeniería social, en la que el equipo de hackers a menudo se hace acaecer por reclutadores para engañar a las personas que buscan posibles oportunidades laborales para que descarguen malware bajo la apariencia de un proceso de entrevista.
Esto implica distribuir aplicaciones de videoconferencia con malware o paquetes npm alojados en GitHub o en el registro oficial de paquetes, allanando el camino para la implementación de malware como BeaverTail e InvisibleFerret.
La Dispositivo 42 de Palo Stop Networks, que expuso la actividad por primera vez en noviembre de 2023, está rastreando el clúster bajo el nombre CL-STA-0240. Incluso se le conoce como Chollima famosa y Pungsan tenaz.
En septiembre de 2024, la empresa de ciberseguridad de Singapur Group-IB documentó la primera revisión importante de la sujeción de ataque, destacando el uso de una lectura actualizada de BeaverTail que adopta un enfoque modular al descargar su funcionalidad de robo de información a un conjunto de scripts de Python rastreados colectivamente como CivetQ.
Vale la pena señalar en esta etapa que Contagious Interview se considera diferente de Operation Dream Job, otra campaña de piratería de Corea del Septentrión de larga duración que incluso emplea señuelos similares relacionados con el trabajo para desencadenar el proceso de infección de malware.
Los últimos hallazgos de la empresa japonesa de ciberseguridad NTT Security Holdings revelan que el malware JavaScript responsable del dispersión de BeaverTail incluso está diseñado para apañarse y ejecutar OtterCookie. Se dice que el nuevo malware se introdujo en septiembre de 2024 y se detectó una nueva lectura adecuado el mes pasado.
OtterCookie, al ejecutarse, establece comunicaciones con un servidor de comando y control (C2) utilizando la biblioteca JavaScript Socket.IO y prórroga más instrucciones. Está diseñado para ejecutar comandos de shell que facilitan el robo de datos, incluidos archivos, contenido del portapapeles y claves de billetera de criptomonedas.
La modificación preparatorio de OtterCookie detectada en septiembre es funcionalmente similar, pero incorpora una pequeña diferencia de implementación en la que la función de robo de claves de billetera de criptomonedas está directamente integrada en el malware, a diferencia de un comando de shell remoto.
El progreso es una señal de que los actores de amenazas están actualizando activamente sus herramientas mientras dejan la sujeción de infección prácticamente intacta, una señal continua de la efectividad de la campaña.
Corea del Sur sanciona a 15 norcoreanos por estafa a trabajadores de TI
Incluso se produce cuando el Tarea de Asuntos Exteriores de Corea del Sur (MoFA) sancionó a 15 personas y una estructura en relación con un plan fraudulento de trabajadores de TI orquestado por su homólogo del ideal para suscitar ilegalmente una fuente constante de ingresos que puede canalizarse de regreso a Corea del Septentrión, robar datos e incluso exigir rescates en algunos casos.
Hay evidencia que sugiere que el liga de amenazas del notorio Chollima incluso está detrás de la operación de amenazas internas. Incluso recibe varios nombres, como Nickel Tapestry, UNC5267 y Wagemole.
Una de las 15 personas sancionadas, Kim Ryu Song, incluso fue acusada por el Área de Razón de Estados Unidos (DoJ) a principios de este mes por su presunta décimo en una conspiración de larga data para violar las sanciones y cometer fraude electrónico, lavado de patrimonio y robo de identidad. buscando empleo ilegalmente en empresas y organizaciones sin fines de interés estadounidenses.
El Tarea de Relaciones Exteriores incluso sancionó a la Chosun Geumjeong Economic Information Technology Exchange Company, que ha sido acusada de dirigir un gran número de personal de TI a China, Rusia, el Sudeste Oriental y África para conseguir fondos para el régimen mediante la fabricación de empleos independientes o de tiempo completo. en las empresas occidentales.
Se dice que estos trabajadores de TI forman parte de la 313.ª Oficina Común, una estructura dependiente del Área de Industria de Municiones del Partido de los Trabajadores de Corea.
«La 313.ª Oficina Común (…) envía mucho personal informático norcoreano al extranjero y utiliza las divisas obtenidas para conseguir fondos para el progreso nuclear y de misiles, y incluso participa en el progreso de software para el sector marcial», dijo el ocupación. .
«Las actividades cibernéticas ilegales de Corea del Septentrión no son sólo actos criminales que amenazan la seguridad del ecosistema cibernético, sino que incluso representan una seria amenaza a la paz y la seguridad internacionales, ya que se utilizan como fondos para el progreso nuclear y de misiles de Corea del Septentrión».