与朝鲜有关的网络威胁行为者正在利用一种名为 OtterCookie 的恶意软件不断扩大其全球影响力。OtterCookie 是早期 WaterPlum 有效载荷(例如 BeaverTail 和 InvisibleFerret)的继承者。NSJ SOC 分析师 Masaya Motoda 和 Rintaro Koike 于 2024 年 12 月首次曝光了该恶意软件,此后 OtterCookie 经历了多次演变,最新变种 v3 和 v4 的功能和跨平台威胁能力显著增强。
OtterCookie 是“传染性面试”活动的一部分,该活动是一项长期存在的攻击行动,针对全球金融机构、加密货币平台和金融科技公司。该活动利用虚假的招聘信息或人才招聘信息来诱骗受害者打开恶意载荷。
虽然 OtterCookie v1 主要用作文件抓取器,但到了 v3(2025 年 2 月观察到)和 v4(2025 年 4 月),该恶意软件已经演变为一个多模块窃取程序,具有针对 Windows 和 macOS 系统量身定制的功能。
OtterCookie v3 版本引入了双模块架构:
- 主模块:保留遗留功能,扫描与文档、图像和加密货币相关的敏感文件。
- 上传模块:增加对 Windows 环境的支持,将与 searchKey 数组中预定义扩展过滤器匹配的文件发送到远程命令和控制 (C2) 服务器。
报告指出:“除了 Windows 环境外,它还收集文档文件、图像文件和与加密货币相关的文件,并将它们发送到远程服务器。 ”
与依赖远程 shell 命令进行文件收集的早期版本不同,v3 使用硬编码逻辑,提高了效率和隐秘性。
2025 年 4 月,研究人员在野外观察到了 OtterCookie v4。此版本集成了:
- 两个新的窃取者模块
- 增强环境检查,包括虚拟机检测
- 使用原生 macOS 和 Windows 命令替换第三方剪贴板工具
“增加了虚拟环境检测功能……我们假设攻击者想要辨别沙盒环境的日志和实际感染的日志, ”报告解释道。
其中一个窃取模块专门针对 Google Chrome 登录凭证,利用 Windows 的数据保护 API (DPAPI) 从登录数据文件中解密并提取密码。窃取的凭证存储在本地数据库文件 (1.db) 中,以供进一步处理。
第二个窃取器模块专注于浏览器存储的钱包数据,收集与 MetaMask、Google Chrome、Brave 和 macOS 钥匙串相关的文件。值得注意的是,该模块不会解密数据,这暗示着它存在中继模型或单独的后处理基础设施。
OtterCookie 被认为是 WaterPlum 组织(又名 Famous Chollima 或 PurpleBravo)的衍生品。该组织持续以金融和加密货币领域为目标,加之 OtterCookie 每次更新的技术复杂性,都表明该组织正在开展一场资源充足的 APT 攻击活动,并可能受到国家级指令的支持。
发表评论
您还未登录,请先登录。
登录