СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
13 марта
#Dev#ИБ

Contagious Interview: социальная инженерия, OtterCookie и кража данных

Кампания Contagious Interview представляет собой изощрённую и целенаправленную атаку социальной инженерии, ориентированную на разработчиков программного обеспечения. Злоумышленники встраивают вредоносные механизмы в процессы подбора персонала, используя доверие кандидатов к техническим собеседованиям, чтобы получить первоначальный доступ и развить дальнейшее проникновение в инфраструктуру жертвы.

Суть атаки

Действующие, по имеющимся данным, как минимум с декабря 2022 года злоумышленники проводят имитацию легитимных технических собеседований и вербовочных сценариев. В условиях реального собеседования жертве предлагают выполнить пакет или команду, замаскированные под часть тестового задания или инструмента для проверки навыков. Психология процесса найма — мотивация кандидата и стрессовая ситуация — значительно снижает подозрительность и повышает вероятность выполнения вредоносных действий.

Механика доставки вредоносного ПО

Атакующие интегрируют свои угрозы в инструменты и рабочие процессы, которым разработчики по природе доверяют. В частности, злоумышленники целенаправленно используют расширения и пакеты для таких инструментов, как Visual Studio Code. При обработке вредоносных пакетов пользователя просят довериться автору репозитория, что может привести к автоматическому запуску бэкдора без дополнительных подозрений.

Ключевые бэкдоры и компоненты кампании

В кампании обнаружены несколько основных вредоносных семейств и вспомогательных агентов:

  • OtterCookie — основной бэкдор, обнаруженный впервые в сентябре 2024 года. Первоначально представлявший собой механизм удалённого выполнения команд, он эволюционировал в модульный инструмент:
    • проверка среды и сбор разведданных;
    • установление связи между командами и контролем (C2);
    • выполнение произвольного кода;
    • модульный сбор данных и масштабная кража информации.

    В реализации используется Node.js фреймворк для комплексного сбора данных — в том числе криптографических ключей и исходного кода — с фильтрацией и эксфильтрацией через HTTP-запросы, замаскированные под легитимный трафик.

  • Лёгкий агент-маячок: собирает подробную системную информацию и периодически связывается с удалённым контроллером. Агент поддерживает выполнение удалённых команд и может устанавливать «безопасные» модули через npm, используемые для регистрации нажатий клавиш и захвата экрана, что обеспечивает широкие возможности наблюдения и эксфильтрации.
  • Invisible Ferret — бэкдор на основе Python, применяемый после получения первоначального доступа для организации удалённого выполнения команд и дальнейшего проникновения.
  • FlexibleFerret — ещё один бэкдор, используемый вместе с социальной инженерией, имитирующей процессы найма, для направления пользователей на выполнение вредоносных команд.

Действия злоумышленников после получения точки опоры

После достижения точки опоры преступники систематически собирают конфиденциальные данные, адаптируя методы под целевую ОС:

  • В Windows — перечисление учётных данных и сбор файлов конфигурации.
  • В macOS — поиск секретных файлов по всей файловой системе с исключением общих системных каталогов, чтобы снизить вероятность обнаружения.

Модули на базе Node.js фильтруют и отбирают ценные ресурсы — криптографические ключи, исходный код и другие секреты — и отправляют их по замаскированным каналам связи.

Особенности тактики и качество кода

Вредоносный код из этой кампании демонстрирует тенденцию к приоритизации быстрой разработки над качеством и устойчивостью структуры. Такой подход указывает на практику, где злоумышленники фокусируются на оперативности и масштабируемости атак, жертвуя аккуратностью кода. Это, в свою очередь, затрудняет обнаружение отдельных компонентов, поскольку они быстро эволюционируют и модифицируются.

Влияние и риски

Последствия кампании Contagious Interview значительны: злоумышленники получают доступ к критическим секретам и могут обеспечить долговременный контроль над корпоративной инфраструктурой. Комбинация социальных приёмов, встраивания в доверенные рабочие процессы и модульной архитектуры вредоносного ПО повышает скрытность и устойчивость атак, что делает обнаружение и смягчение последствий особенно сложным.

«Contagious Interview представляет собой инновационный и коварный подход к кибератакам, серьёзно подрывающий доверие разработчиков и целостность процессов подбора персонала как векторов проникновения вредоносного ПО и кражи данных.»

Вывод

Кампания Contagious Interview — пример того, как злоумышленники используют социальную инженерию и доверие к профессиональным процессам, чтобы обойти традиционные механизмы защиты. Модульная архитектура бэкдоров, интеграция с привычными инструментами разработчиков и ориентированность на процессы найма делают эту угрозу особенно опасной для организаций, которые полагаются на внешние и внутренние каналы взаимодействия при подборе персонала и тестировании кода.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: