Группа WaterPlum, известная также как Famous Chollima или PurpleBravo, связанная с Северной Кореей, активно атакует финансовые учреждения и компании финтех по всему миру.
Описание
Используя вредоносное ПО BeaverTail или InvisibleFerret, они с 2023 года были вовлечены в кампанию Contagious Interview, а с сентября 2024 года начали использовать новое вредоносное ПО, названное OtterCookie.
Отчеты показывают, что атаки с использованием OtterCookie продолжаются и после его обнародования, с обновлениями в феврале и апреле 2025 года. OtterCookie имеет несколько версий, начиная от v1 до v4, каждая с различными функциями и поддерживаемыми операционными системами. OtterCookie v3, представленная в феврале 2025 года, включает два модуля: основной и модуль Upload, который взаимодействует с сервером C2.
Отличия в функционале и возможностях OtterCookie v4, начиная с апреля 2025 года, включают добавление новых модулей Stealer и дополнительных функций в модуль Main. Это включает функцию обнаружения виртуального окружения, а также улучшения в функции кражи содержимого буфера обмена. Модуль Stealer в OtterCookie v4 способен красть учетные данные из Google Chrome и MetaMask, а также учетные данные MacOS, использовав различные методы шифрования и хранения данных.
Изучение различий в методах и стилях кодирования модулей Stealer подтверждает предположение, что эти части вредоносного ПО могли быть разработаны разными группами или разработчиками, что указывает на высокую степень организации и специализации в работе группы WaterPlum.
Индикаторы компрометации
IPv4
- 116.202.208.125
- 135.181.123.177
- 188.116.26.84
- 194.164.234.151
- 65.108.122.31
- 65.21.23.63
- 95.216.227.188
Domains
- alchemy-api-v3.cloud
- chainlink-api-v3.cloud
- modilus.io
- moralis-api-v3.cloud