NTTセキュリティは12月25日、「Contagious Interviewが使用する新たなマルウェアOtterCookieについて|NTTセキュリティテクニカルブログ」において、北朝鮮との関係が疑われているサイバー攻撃キャンペーン「Contagious Interview」について、国内組織も注意が必要として調査結果を公表した。

  • Contagious Interviewが使用する新たなマルウェアOtterCookieについて|NTTセキュリティテクニカルブログ

    Contagious Interviewが使用する新たなマルウェアOtterCookieについて|NTTセキュリティテクニカルブログ

Contagious Interviewの概要

Contagious InterviewはPalo Alto NetworksのUnit 42により発見された。攻撃者は雇用主を装い、面接に必要とだましてソフトウェア開発者にマルウェアをインストールさせる。目的は経済的利益とされ、Webブラウザの情報、暗号資産ウォレット、クレジットカード情報などを窃取する(参考:「Hacking Employers and Seeking Employment: Two Job-Related Campaigns Bear Hallmarks of North Korean Threat Actors」)。

Palo Alto Networksの調査では、マルウェアとして「BeaverTail」および「InvisibleFerret」の配布が確認されている。しかしながら今回、NTTは新しいマルウェア「OtterCookie」の配布を確認したとして、このマルウェアに焦点を当てて調査結果を報告している。

侵害経路

OtterCookieの配布手法は基本的に他2種のマルウェアと同様とされる。具体的には、GitHubやBitbucketからNode.jsプロジェクトやノードパッケージマネージャー(npm: Node Package Manager)のパッケージをダウンロードさせ、これらコンポーネントからマルウェアを展開する。

最近では、QtおよびElectronを使用して開発されたアプリケーションを実行させ、マルウェアを展開する事例もあったとされる。

  • 侵害経路 - 引用:NTT

    侵害経路 引用:NTTセキュリティ

マルウェア「OtterCookie」の概要

NTTセキュリティの研究者は2024年9月および11月にOtterCookieを観測。機能および実装に若干の違いがあるようだが、11月の新しいOtterCookieからは次の機能が確認されている。

  • リモート通信にSocket.IOを使用する
  • シェルコマンドの実行
  • デバイス情報の窃取
  • クリップボード情報の窃取

このように搭載された機能自体は限定的だが、攻撃者はシェルコマンドの実行機能を悪用して、標的環境の調査および暗号資産ウォレットの情報窃取を試みる。

進行中の攻撃に警戒を

研究者はOtterCookieの継続した開発が確認できるとして、今後もキャンペーンが継続する可能性を指摘している。また、日本国内でも攻撃が観測されたとして注意を呼びかけている。同社は調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。