Se ha observado que los actores de amenazas norcoreanos detrás de la actual campaña Contagious Interview lanzan un nuevo malware JavaScript llamado nutriagalleta.
Contagious Interview (también conocido como DeceivedDevelopment) se refiere a una campaña de ataque persistente que emplea señuelos de ingeniería social, en la que el equipo de hackers a menudo se hace pasar por reclutadores para engañar a las personas que buscan posibles oportunidades laborales para que descarguen malware bajo la apariencia de un proceso de entrevista.
Esto implica distribuir aplicaciones de videoconferencia con malware o paquetes npm alojados en GitHub o en el registro oficial de paquetes, allanando el camino para la implementación de malware como BeaverTail e InvisibleFerret.
La Unidad 42 de Palo Alto Networks, que expuso la actividad por primera vez en noviembre de 2023, está rastreando el clúster bajo el nombre CL-STA-0240. También se le conoce como Chollima famosa y Pungsan tenaz.
En septiembre de 2024, la empresa de ciberseguridad de Singapur Group-IB documentó la primera revisión importante de la cadena de ataque, destacando el uso de una versión actualizada de BeaverTail que adopta un enfoque modular al descargar su funcionalidad de robo de información a un conjunto de scripts de Python rastreados colectivamente como CivetQ.
Vale la pena señalar en esta etapa que Contagious Interview se considera diferente de Operation Dream Job, otra campaña de piratería de Corea del Norte de larga duración que también emplea señuelos similares relacionados con el trabajo para desencadenar el proceso de infección de malware.
Los últimos hallazgos de la empresa japonesa de ciberseguridad NTT Security Holdings revelar que el malware JavaScript responsable del lanzamiento de BeaverTail también está diseñado para buscar y ejecutar OtterCookie. Se dice que el nuevo malware se introdujo en septiembre de 2024 y se detectó una nueva versión disponible el mes pasado.
OtterCookie, al ejecutarse, establece comunicaciones con un servidor de comando y control (C2) utilizando la biblioteca JavaScript Socket.IO y espera más instrucciones. Está diseñado para ejecutar comandos de shell que facilitan el robo de datos, incluidos archivos, contenido del portapapeles y claves de billetera de criptomonedas.
La variante anterior de OtterCookie detectada en septiembre es funcionalmente similar, pero incorpora una pequeña diferencia de implementación en la que la función de robo de claves de billetera de criptomonedas está directamente integrada en el malware, a diferencia de un comando de shell remoto.
El desarrollo es una señal de que los actores de amenazas están actualizando activamente sus herramientas mientras dejan la cadena de infección prácticamente intacta, una señal continua de la efectividad de la campaña.
Corea del Sur sanciona a 15 norcoreanos por estafa a trabajadores de TI
También viene como el Ministerio de Asuntos Exteriores de Corea del Sur (MoFA) sancionado 15 personas y una organización en relación con un plan fraudulento de trabajadores de TI orquestado por su contraparte del norte para generar ilegalmente una fuente constante de ingresos que puede canalizarse de regreso a Corea del Norte, robar datos e incluso exigir rescates en algunos casos.
Hay evidencia que sugiere que el grupo de amenazas del famoso Chollima también está detrás de la operación de amenazas internas. También recibe varios nombres, como Nickel Tapestry, UNC5267 y Wagemole.
Una de las 15 personas sancionadas, Kim Ryu Song, también fue acusada por el Departamento de Justicia de Estados Unidos (DoJ) a principios de este mes por su presunta participación en una conspiración de larga data para violar las sanciones y cometer fraude electrónico, lavado de dinero y robo de identidad. buscando empleo ilegalmente en empresas y organizaciones sin fines de lucro estadounidenses.
El Ministerio de Relaciones Exteriores también sancionó a la Chosun Geumjeong Economic Information Technology Exchange Company, que ha sido acusada de enviar un gran número de personal de TI a China, Rusia, el Sudeste Asiático y África para conseguir fondos para el régimen mediante la obtención de empleos independientes o de tiempo completo. en las empresas occidentales.
Se dice que estos trabajadores de TI forman parte de la 313.ª Oficina General, una organización dependiente del Departamento de Industria de Municiones del Partido de los Trabajadores de Corea.
“La 313ª Oficina General […] envía mucho personal informático norcoreano al extranjero y utiliza las divisas obtenidas para asegurar fondos para el desarrollo nuclear y de misiles, y también participa en el desarrollo de software para el sector militar”, dijo el ministerio.
“Las actividades cibernéticas ilegales de Corea del Norte no son sólo actos criminales que amenazan la seguridad del ecosistema cibernético, sino que también representan una seria amenaza a la paz y la seguridad internacionales, ya que se utilizan como fondos para el desarrollo nuclear y de misiles de Corea del Norte”.
About the Author
