Chiến dịch Contagious Interview

Theo các nhà nghiên cứu tại công ty an ninh mạng Palo Alto Networks (Mỹ), Contagious Interview (hay còn gọi là DeceptiveDevelopment) là chiến dịch tấn công liên tục sử dụng kỹ nghệ xã hội, đã hoạt động ít nhất từ ​​tháng 12/2022, trong đó các tin tặc thường đóng giả làm người tuyển dụng để lừa đảo những cá nhân đang tìm kiếm cơ hội việc làm tiềm năng tải xuống phần mềm độc hại dưới hình thức phỏng vấn.

Điều này liên quan đến việc phân phối các ứng dụng hội nghị truyền hình trực tuyến có chứa phần mềm độc hại hoặc các gói npm được lưu trữ trên GitHub hoặc gói package registry, mở đường cho việc triển khai phần mềm độc hại như BeaverTail và InvisibleFerret.

Vào tháng 9/2024, công ty an ninh mạng của Singapore là Group-IB đã ghi nhận bản cập nhật quy mô lớn đầu tiên đối với chuỗi tấn công, nhấn mạnh việc sử dụng phiên bản mới của BeaverTail áp dụng phương pháp tiếp cận mô-đun bằng cách chuyển chức năng đánh cắp thông tin sang một tập hợp các tập lệnh Python được theo dõi chung là CivetQ.

Điều đáng chú ý ở giai đoạn này là chiến dịch Contagious Interview được đánh giá có nhiều điểm khác biệt so với Operation Dream Job, một chiến dịch tấn công mạng khác của Triều Tiên cũng sử dụng các công cụ lừa đảo liên quan đến công việc tương tự để kích hoạt quá trình lây nhiễm phần mềm độc hại.

Chuỗi tấn công OtterCookie

Những phát hiện mới nhất từ ​​công ty an ninh mạng NTT Security Holdings (Nhật Bản) tiết lộ rằng phần mềm độc hại JavaScript chịu trách nhiệm khởi chạy BeaverTail cũng được thiết kế để lấy và thực thi OtterCookie. Phần mềm độc hại mới được cho là đã được biết đến vào tháng 9/2024, với một phiên bản mới được phát hiện trong thực tế vào tháng 12/2024.

NTT Security Holdings cho biết, mặc dù BeaverTail vẫn là payload phổ biến nhất, nhưng trong một số trường hợp, OtterCookie được phát hiện triển khai cùng với BeaverTail hoặc riêng lẻ.

Giống như trong các cuộc tấn công được các nhà nghiên cứu Palo Alto Networks ghi lại, OtterCookie được phân phối thông qua trình tải dữ liệu JSON và thực thi thuộc tính cookie dưới dạng mã JavaScript. Trình tải lây nhiễm mục tiêu thông qua các project Node[.]js hoặc các gói npm được tải xuống từ GitHub hoặc Bitbucket. Tuy nhiên, các tệp được xây dựng dưới dạng ứng dụng Qt hoặc Electron cũng được sử dụng gần đây.

Hình 1. Tổng quan về các cuộc tấn công mới nhất trong chiến dịch Contagious Interview

Khi hoạt động trên thiết bị mục tiêu, OtterCookie thiết lập liên lạc với máy chủ điều khiển và ra lệnh (C2) bằng thư viện JavaScript Socket[.]IO và chờ hướng dẫn tiếp theo. Phần mềm độc hại này được thiết kế để chạy các lệnh shell tạo điều kiện cho việc đánh cắp dữ liệu, bao gồm tệp, hình ảnh, tài liệu, clipboard, khóa ví tiền điện tử và một số thông tin có giá trị khác.

“Ví dụ, hàm checkForSensitiveData sử dụng biểu thức chính quy để kiểm tra khóa riêng tư Ethereum”, các nhà nghiên cứu lưu ý, đồng thời cho biết rằng điều này đã thay đổi với biến thể phần mềm độc hại vào tháng 11/2024, trong đó được thực hiện thông qua các lệnh shell từ xa.

Hình 2. Nhắm mục tiêu thông tin tiền điện tử

Các lệnh thường được sử dụng để trinh sát, như “ls” và “cat”, cũng được phát hiện, cho thấy ý định của kẻ tấn công là khám phá môi trường và dàn dựng để xâm nhập sâu hơn hoặc di chuyển ngang trong hệ thống mạng.

Biến thể OtterCookie cũ hơn được phát hiện vào tháng 9/2024 có chức năng tương tự, nhưng có một điểm khác biệt nhỏ trong cách triển khai, trong đó tính năng đánh cắp khóa ví tiền điện tử được tích hợp trực tiếp vào phần mềm độc hại, thay vì lệnh shell từ xa.

Sự phát triển này là dấu hiệu cho thấy kẻ tấn công đang tích cực cập nhật công cụ của chúng trong khi vẫn giữ nguyên chuỗi lây nhiễm, một dấu hiệu tiếp tục cho thấy hiệu quả của chiến dịch.

Hàn Quốc trừng phạt 15 người Triều Tiên vì hành vi lừa đảo

Sự việc này xảy ra trong bối cảnh Bộ Ngoại giao Hàn Quốc (MoFA) đã trừng phạt 15 cá nhân và một tổ chức của Triều Tiên có liên quan đến chương trình lừa đảo nhân viên công nghệ thông tin, nhằm tạo ra nguồn thu nhập ổn định bất hợp pháp, đánh cắp dữ liệu và thậm chí đòi tiền chuộc trong một số trường hợp.

Có bằng chứng cho thấy nhóm tin tặc Famous Chollima cũng đứng sau hoạt động gián điệp. Nhóm này cũng được gọi bằng nhiều tên khác nhau, chẳng hạn như Nickel Tapestry, UNC5267 và Wagemole.

Một trong 15 cá nhân bị trừng phạt, bao gồm Kim Ryu Song, cũng đã bị Bộ Tư pháp Mỹ (DoJ) truy tố vào đầu tháng 12/2024 vì bị cáo buộc liên quan đến một kế hoạch lâu dài nhằm vi phạm lệnh trừng phạt và thực hiện các hành vi gian lận chuyển tiền, rửa tiền và đánh cắp định danh bằng cách tìm kiếm việc làm bất hợp pháp tại các công ty và tổ chức phi lợi nhuận của Mỹ.