북한 해커 그룹과 OtterCookie 멀웨어를 활용한 Contagious Interview 캠페인

북한의 해커들, 컨태져스인터뷰 진행하면서 새로운 멀웨어 등장시켜

북한의 해커들, 컨태져스인터뷰 진행하면서 새로운 멀웨어 등장시켜

 

North Korea actors use OtterCookie malware in Contagious Interview campaign

North Korea actors use OtterCookie malware in Contagious Interview campaign - Security Affairs

 

• 캠페인 개요
  • Contagious Interview 캠페인은 북한 해커 그룹에 의해 2022년부터 진행된 악성 공격 활동
  • 초기에는 정보 탈취 및 정치적 목표에 중점을 두었으나, 최근 금전적 동기가 강화됨
  • OtterCookie를 비롯해 BeaverTail, InvisibleFerret 등의 멀웨어를 활용하여 공격 수행
• 공격 흐름
  • 악성 프로젝트 배포
    • GitHub, Bitbucket에 악성 Node.js 프로젝트나 npm 패키지 업로드
    • Qt 및 Electron을 활용한 악성 애플리케이션 제작 및 유포
  • OtterCookie 로더 멀웨어
    • 원격 서버에서 JSON 데이터를 다운로드해 쿠키 속성을 자바스크립트 코드로 실행
    • 주요 페이로드: BeaverTail, OtterCookie
  • 명령 및 제어(C2)
    • Socket.IO 기반 통신을 통해 원격 명령 실행 및 시스템 탐색
    • 암호화폐 키, 문서, 이미지 등 민감한 데이터 탈취
• OtterCookie 멀웨어 분석
  • 기본 기능
    • 셸 명령 실행 및 시스템 정보 수집
    • 암호화폐 지갑 키 및 관련 데이터 탐색 및 전송
    • 감염된 클립보드 정보 수집 및 원격 서버로 전송
  • 버전 차이
    • 9월 버전: 이더리움 개인 키 검색에 특화
    • 11월 버전: 원격 명령 실행을 통한 데이터 수집 기능 추가
• 피해 범위 및 주요 대상
  • 소프트웨어 개발자 및 암호화폐 거래소 사용자 주요 대상
  • 암호화폐 관련 데이터 탈취 및 금전적 손실 초래
  • 일본에서 활동이 확인되었으며, 글로벌 확산 가능성 존재
• 보안 권고
  • 개발자 및 사용자를 위한 조치
    • 의심스러운 프로젝트 다운로드 금지: 신뢰할 수 없는 GitHub 또는 npm 프로젝트 검증 필수
    • 암호화폐 데이터 보안 강화: 개인 키와 관련 데이터를 안전한 환경에 보관
    • 멀웨어 탐지 도구 사용: 시스템 탐지 및 모니터링 강화
  • 기업 및 조직을 위한 조치
    • 침해 지표(IoC) 업데이트 및 점검: 지속적인 침해 지표 확인 및 방어 체계 업데이트
    • 보안 훈련: 피싱 이메일 대응 및 안전한 개발 환경 유지 교육
    • 네트워크 격리 및 탐지: 악성 C2 서버와의 통신 차단 및 의심 활동 분석
• 결론
  • 북한 해커 그룹의 금전적 동기가 강화됨에 따라 암호화폐 거래 및 관련 서비스가 주요 타겟이 됨
  • 멀웨어와 공격 전략이 지속적으로 변화하므로 방어 체계를 주기적으로 점검 및 업데이트해야 함
  • 글로벌 차원에서 지속적인 위협 모니터링과 정보 공유를 통해 위협 대응력을 강화해야 함