WaterPlum 组织 OtterCookie 恶意软件升级至 v4 版本:新增凭证窃取与沙箱检测功能
与北朝鲜有关的网络威胁组织正在通过名为OtterCookie的升级版恶意软件扩大其全球攻击范围。该恶意软件是WaterPlum组织此前投放的BeaverTail和InvisibleFerret等恶意负载的后续变种。2024年12月由NSJ SOC分析师Masaya Motoda和Rintaro Koike首次披露后,OtterCookie已历经多次迭代,最新发现的v3和v4版本在功能性和跨平台威胁能力方面均有显著提升。
OtterCookie作为"传染性面试"(Contagious Interview)长期行动的一部分被部署,该行动主要针对全球金融机构、加密货币平台和金融科技公司。攻击者通过伪造职位邀约或人才合作的方式,诱骗受害者打开恶意负载。
版本演进与技术升级该恶意软件最初版本(v1)仅具备基础文件窃取功能,而到2025年2月发现的v3版本和2025年4月出现的v4版本时,已发展为适配Windows和macOS系统的多模块窃密程序。
v3版本的双模块架构:
图示:NSJ提供
主模块:保留基础功能,扫描与文档、图像和加密货币相关的敏感文件上传模块:新增对Windows环境的支持,将符合searchKey数组中预设扩展名过滤条件的文件发送至远程C2服务器报告指出:"除Windows环境外,它还会收集文档文件、图像文件以及与加密货币相关的文件,并将其发送至远程服务器。"与早期版本依赖远程shell命令收集文件不同,v3版本采用硬编码逻辑,提高了效率和隐蔽性。
v4版本新增功能2025年4月,研究人员在野捕获到OtterCookie v4版本,该版本整合了以下新功能:
两个新型窃密模块增强的环境检测功能(包括虚拟机识别)用原生macOS和Windows命令替代第三方剪贴板工具报告解释称:"新增了虚拟环境检测功能...我们推测攻击者旨在区分沙箱环境日志与实际感染日志。"
凭证窃取技术细节其中一个窃密模块专门针对Google Chrome登录凭证,利用Windows数据保护API(DPAPI)从"Login Data"文件中解密并提取密码。窃取的凭证会先存储在本地数据库文件(1.db)中,等待后续处理。
另一个窃密模块则专注于浏览器存储的钱包数据,收集与MetaMask、Google Chrome、Brave以及macOS钥匙串相关的文件。值得注意的是,该模块不会在本地解密数据,暗示攻击者可能采用中继模式或拥有独立的后处理基础设施。
攻击组织背景OtterCookie被归因于WaterPlum组织(又名Famous Chollima或PurpleBravo)。该组织持续针对金融和加密货币领域的行为,配合OtterCookie每次更新的技术复杂度,表明其背后很可能存在国家层面支持、资源充足的高级持续性威胁(APT)行动。
