SecBoard
Zurück zur Übersicht

Fake Coding Tests Deliver OtterCookie-Aligned Malware Hidden in SVG Flag Images

The Hacker News·
Originalartikel lesen bei The Hacker News

Nordkoreanische Hacker nutzen gefälschte Coding-Tests und Stellenangebote, um Malware zu verbreiten. Sie verstecken bösartige Payloads in SVG-Bildern, die Browser- und Krypto-Wallet-Daten sowie andere Dateien stehlen. Nutzer, die solche Projekte ausführen, sind betroffen und sollten höchste Vorsicht walten lassen.

Kurzfassung

Nordkoreanische Bedrohungsakteure nutzen gefälschte Coding-Tests und Stellenangebote, um Malware zu verbreiten. Die Malware, die als OtterCookie-aligned beschrieben wird, ist in SVG-Bildern versteckt. Sie stiehlt Browser- und Krypto-Wallet-Daten sowie andere Dateien von betroffenen Systemen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Nutzer, die gefälschte Coding-Tests oder Stellenangebote von nordkoreanischen Bedrohungsakteuren ausgeführt haben.

Warum relevant

Organisationen, die Softwareentwickler einstellen oder mit externen Entwicklern zusammenarbeiten, sind einem erhöhten Risiko ausgesetzt, da diese Taktik auf die Kompromittierung von Entwicklersystemen abzielt. Der Diebstahl von Anmeldeinformationen und Krypto-Wallets kann zu erheblichen finanziellen Verlusten und Datenlecks führen.

Realistisches Worst Case

Ein Mitarbeiter führt einen solchen gefälschten Coding-Test aus, was zur Kompromittierung seines Systems führt. Die Angreifer stehlen Anmeldeinformationen für Unternehmenssysteme und Krypto-Wallets, was zu unbefugtem Zugriff auf interne Ressourcen und potenziellen finanziellen Verlusten führt.

Handlungsempfehlung

Mitarbeiter über die Risiken gefälschter Coding-Tests und Stellenangebote aufklären. Systeme auf Anzeichen einer Kompromittierung scannen, insbesondere wenn solche Projekte ausgeführt wurden. Sicherheitslösungen zur Erkennung von Malware in ausführbaren Dateien und Skripten implementieren und aktualisieren.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie E-Mail-Gateways und Web-Filter auf die Erkennung von Phishing-E-Mails, die gefälschte Stellenangebote oder Coding-Tests enthalten.
  • Scannen Sie Endpunkte auf das Vorhandensein von Malware, die mit OtterCookie-aligned in Verbindung gebracht wird, insbesondere in temporären Verzeichnissen oder Benutzerprofilen nach der Ausführung von heruntergeladenen Projekten.
  • Überprüfen Sie die Netzwerkprotokolle auf ungewöhnliche ausgehende Verbindungen zu bekannten Command-and-Control-Infrastrukturen, die mit nordkoreanischen Bedrohungsakteuren in Verbindung gebracht werden.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighNordkoreanische Hacker nutzen gefälschte Coding-Tests und Stellenangebote, um Malware zu verbreiten.
Defense EvasionT1027 Obfuscated Files or InformationHighSie verstecken bösartige Payloads in SVG-Bildern
Credential AccessT1555 Credentials from Password StoresHighBrowser- und Krypto-Wallet-Daten sowie andere Dateien stehlen.
CollectionT1119 Automated CollectionLowBrowser- und Krypto-Wallet-Daten sowie andere Dateien stehlen.
Offene Punkte
  • Spezifische CVEs oder IOCs sind im Artikel nicht genannt.
  • Die genaue Methode der Ausführung der SVG-Bilder wird nicht detailliert beschrieben.
  • Die genaue Art der 'anderen Dateien', die gestohlen werden, ist nicht spezifiziert.
  • Die spezifischen Branchen oder geografischen Regionen, die von dieser Kampagne betroffen sind, sind nicht genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Resource Development detektieren?
  • Können wir Defense Evasion detektieren?

MITRE ATT&CK Kill Chain (4 Techniken)

Defense Evasion
Command & Control