OtterCookie: новая угроза Lazarus Group для технологий и финансов

OtterCookie: новая угроза от северокорейской Lazarus Group

Недавнее исследование выявило новую вредоносную программу OtterCookie, которую связывают с Lazarus Group — киберпреступной организацией, спонсируемой государством Северной Кореи. Эта сложная программа направлена на кражу учетных данных, криптокошельков и конфиденциальной информации работников технологического и финансового секторов.

Маскировка и методы распространения

OtterCookie распространяется с помощью тщательно продуманной социальной инженерии. Кампания, получившая название «Заразительное интервью», использует поддельные предложения о работе и имитирует задачи по коду, чтобы проникнуть в целевые системы. Для снижения подозрений вредоносная программа маскируется под легитимные Node.js репозитории.

Особое внимание стоит уделить уникальной схеме запуска вредоносного кода. Программа искусственно вызывает ошибку в Node.js-сервере, чтобы инициировать загрузку вредоносных компонентов с внешнего API. Такой подход позволяет обойти стандартные механизмы защиты, увеличивая шансы остаться незамеченной.

Что атакует OtterCookie?

Вредоносная программа ориентирована на сбор следующих данных:

• учетные данные браузера, сохранённые в различных профилях;
• цепочки ключей macOS;
• информацию о криптовалютных кошельках, включая Solana и Exodus.

После успешного сбора данные сжимаются и отправляются на командно-диспетчерский сервер (C2), расположенный в США, через порт 1224. Этот способ передачи данных совпадает с тактиками, применяемыми в предыдущих кампаниях Lazarus, таких как Beavertail и InvisibleFerret.

Дальнейшая фаза атаки и связь с InvisibleFerret

После первичного сбора данных OtterCookie загружает и устанавливает троян удаленного доступа InvisibleFerret (RAT), который обеспечивает постоянный контроль над заражёнными системами. Этот этап демонстрирует тесную взаимосвязь вредоносных инструментов в арсенале Lazarus Group и подчеркивает их фокус на кражах, связанных с криптовалютами — важной составляющей схем по отмыванию денег и поддержанию анонимности.

Соответствие стандартам MITRE ATT&CK

Поведение OtterCookie напрямую коррелирует с несколькими техниками из платформы MITRE ATT&CK:

• сбор системной информации;
• сброс и кража учетных данных операционной системы;
• использование протоколов прикладного уровня для эксфильтрации данных.

Выводы и рекомендации

Эволюция угрозы в лице OtterCookie демонстрирует возрастающую изощренность методов Lazarus Group. Особенно опасной становится комбинация социальной инженерии и технических подходов к маскировке, нацеленная на финансово выгодные сектора.

Кибербезопасность требует повышенного внимания и внедрения комплексных мер защиты, включая:

• повышение осведомленности сотрудников о фишинговых атаках и поддельных вакансиях;
• контроль целостности кода и репозиториев;
• использование многофакторной аутентификации для защиты учетных данных;
• регулярный мониторинг сетевого трафика на подозрительную активность;
• переход на современные системы защиты, учитывающие тактики ATT&CK.

Только комплексный и информированный подход позволит эффективно противостоять таким продвинутым угрозам, как OtterCookie, и защитить критически важные активы компаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.