威胁分子利用ClickFake面试活动传播OtterCandy恶意软件

北朝鲜关联组织WaterPlum的Cluster B通过ClickFake面试活动分发基于Node.js的远程控制木马OtterCandy,该恶意软件具有实时C2通信、凭证窃取和多平台感染能力,2025年8月版本更增加了客户端ID追踪和数据窃取范围扩展等增强功能。

ClickFake面试活动被威胁分子用于传播OtterCandy恶意软件

活动概述

与北朝鲜有关的组织WaterPlum的Cluster B通过引入OtterCandy——一种基于Node.js的RAT和信息窃取器——进化了其战术,通过ClickFake面试活动进行传播,在2025年8月观察到显著增强。

该威胁行为者策划了两个主要活动:Contagious Interview和ClickFake Interview。尽管多个集群在WaterPlum旗下运作,但Cluster B——通常被称为BlockNovas集群——因独立开发定制工具而脱颖而出,包括新发现的OtterCandy恶意软件。

ClickFake Interview利用欺骗性网页内容引诱不知情的目标与恶意页面互动。近几个月来,网络安全研究人员记录了来自WaterPlum(也称为Famous Chollima和PurpleBravo)的攻击激增。

在Cluster B的变体中,受害者会遇到一个伪装成面试平台的定制"ClickFix"网页。一旦用户参与,他们会被提示下载看似是面试应用程序或文档的文件。

恶意软件演变

历史上,Cluster B分发了针对Windows的GolangGhost和针对macOS的FrostyFerret,反映了其他集群使用的战术。然而,从2025年7月开始,OtterCandy成为跨Windows、macOS和Linux系统的主要植入程序。

该活动反映了WaterPlum更广泛的车轮式利用策略:在共享恶意软件框架和专有菌株之间交替使用,以复杂化检测和归因。

OtterCandy的首次亮相标志着一个显著转变,融合了两个早期有效载荷——RATatouille和OtterCookie——的特点,提供多方面的威胁。

OtterCandy技术分析

OtterCandy使用Node.js编写,并依赖Socket.IO库进行实时命令和控制(C2)通信。

一个与OtterCandy签名匹配的样本于2025年2月在VirusTotal上首次识别,在Silent Push的初始报告中被错误标记为OtterCookie。随后的取证分析确认了相同的文件哈希,巩固了其在WaterPlum生态系统中的血统。

建立C2连接后,OtterCandy接受各种设计用于凭证窃取和系统侦察的命令。

Cluster B操作员部署这些功能来收集浏览器凭证、提取加密货币钱包,并从受感染设备中窃取机密文档。

虽然OtterCandy依赖次要植入程序——DiggingBeaver——来维持持久性,但它还具有自我复活机制:在接收到SIGINT事件时,恶意软件通过Node.js的process.on处理程序重新启动自身。

2025年8月更新:从v1到v2

在2025年8月的监控周期中,分析师观察到OtterCandy经历了重大修订,分为v1和v2。这些增强展示了Cluster B对迭代改进和规避技术的承诺。

添加client_id

在最初的v1版本中,OtterCandy传输"username"字段来识别受害者。版本2通过添加唯一的"client_id"来增强这一点,实现对受感染主机的更精确跟踪,并简化操作员对大型僵尸网络的控制。

扩展窃取目标

OtterCandy的核心功能包括从特定浏览器扩展中窃取数据。虽然v1针对四个扩展ID,但v2将范围扩大到七个,扩大了受感染工件的范围。此外,v1从基于Chromium的浏览器中部分数据渗漏已被v2中全面提取所有可用用户数据所取代,增加了被盗信息的广度。

痕迹删除增强

版本2还加强了其清理例程。新的ss_del命令现在不仅删除DiggingBeaver用于持久性的注册表键,还清除相关文件和目录。这些添加旨在擦除法医证据,阻挠事件响应工作并延长隐身时间。

影响和建议

OtterCandy的出现强调了Cluster B日益增长的复杂性和WaterPlum带来的不断演变的威胁形势。

在高风险行业运营的组织——特别是在已有攻击记录的日本——应加强对基于Node.js的异常和Socket.IO流量模式的监控。

主动威胁狩猎重复的client_id签名和意外的注册表修改可以加速检测。

持续的威胁情报共享和开发框架的及时修补仍然至关重要。建议安全团队部署能够标记异常进程活动的行为分析工具,强制执行严格的应用程序白名单,并定期审计浏览器扩展清单。

随着WaterPlum的Cluster B完善其恶意软件武器库,防御者必须通过将动态分析集成到其安全操作中并促进跨行业同行的合作来适应。持续密切监控OtterCandy的演变对于缓解下一波ClickFake Interview攻击至关重要。

ClickFake Interview活动向OtterCandy的转变展示了WaterPlum操作手册中有计划的升级。

随着其2025年8月的增强,OtterCandy对防御者构成了更严峻的挑战,需要警惕的监控和强大的防御姿态。

持续分析这一威胁对于保护关键基础设施和敏感数据免受这一北朝鲜关联对手的侵害至关重要。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次