عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة حملة GhostCall للبرمجيات الخبيثة

حملة GhostCall للبرمجيات الخبيثة

بواسطة Mezo في البرمجيات الخبيثة
ترجمة الى:

كشف باحثو الأمن السيبراني عن حملة متطورة تستهدف قطاعي Web3 وblockchain، تُعرف باسم GhostCall. تُعد هذه العملية جزءًا من مبادرة أوسع نطاقًا مرتبطة بكوريا الشمالية تُسمى SnatchCrypto، وهي نشطة منذ عام 2017 على الأقل. يُعزى هذا التهديد إلى مجموعة BlueNoroff الفرعية التابعة لمجموعة Lazarus، والمعروفة أيضًا بأسماء مستعارة متعددة، بما في ذلك APT38 وCageyChameleon وCryptoCore وGenie Spider وNickel Gladstone وSapphire Sleet وStardust Chollima.

تم تحديد ضحايا الحملة عبر العديد من مضيفات macOS في اليابان وإيطاليا وفرنسا وسنغافورة وتركيا وإسبانيا والسويد والهند وهونج كونج.

تقنيات الهندسة الاجتماعية والتصيد الاحتيالي المتطورة

يركز GhostCall بشدة على أجهزة macOS الخاصة بالمديرين التنفيذيين في شركات التكنولوجيا وشركات رأس المال الاستثماري. يتواصل المهاجمون مباشرةً مع الأهداف عبر منصات مثل Telegram، ويدعونهم إلى اجتماعات استثمارية تُقام على مواقع تصيد احتيالي شبيهة بـ Zoom.

الجوانب الرئيسية للهجوم:

  • ينضم الضحايا إلى مكالمات مزيفة تحتوي على تسجيلات حقيقية لضحايا آخرين بدلاً من التزييف العميق.
  • أثناء المكالمة، يُطلب من المستخدمين "تحديث" Zoom أو Teams عبر نص برمجي ضار.
  • يقوم البرنامج النصي بتنزيل ملفات ZIP التي تبدأ سلاسل عدوى متعددة المراحل على المضيف.

كانت الحملة نشطة منذ منتصف عام ٢٠٢٣، على الأرجح عقب حملة RustBucket، التي مثّلت تحوّل المجموعة الاستراتيجي نحو هجمات مُركّزة على نظام macOS. ومن بين عائلات البرمجيات الخبيثة التي نُشرت لاحقًا: KANDYKORN وObjCShellz وTodoSwift.

صفحات Zoom وTeams المزيفة الخادعة

في البداية، يرى المستهدفون الذين يزورون صفحات التصيد الاحتيالي GhostCall وهمًا بمكالمة مباشرة، مما يؤدي سريعًا إلى ظهور رسالة خطأ. تطلب الرسالة من المستخدمين تنزيل حزمة تطوير برامج Zoom أو Teams (SDK) لمواصلة المكالمة.

  • على نظام macOS، يؤدي النقر فوق "تحديث الآن" إلى تنزيل برنامج AppleScript ضار.
  • في نظام Windows، يستخدم المهاجمون تقنية ClickFix لتنفيذ أمر PowerShell.
  • يتم تتبع كل تفاعل مع الموقع المزيف، مما يسمح للمهاجمين بمراقبة سلوك الضحية.

ومنذ ذلك الحين، توسعت الحملة من Zoom إلى Microsoft Teams، باستخدام تنزيلات SDK الخاصة بـ TeamsFx لمواصلة سلسلة العدوى.

سلاسل البرمجيات الخبيثة والعدوى

بغض النظر عن المنصة، يُثبّت برنامج AppleScript تطبيقات Zoom أو Teams مزيفة، ويُنزّل برنامج DownTroy، الذي يجمع كلمات المرور من برامج إدارة كلمات المرور، ويُثبّت برامج ضارة إضافية بصلاحيات الجذر. يستفيد GhostCall من ثماني سلاسل هجومية مُختلفة، بما في ذلك:

ZoomClutch / TeamsClutch – زرع قائم على Swift متخفي في شكل Zoom أو Teams؛ يطالب بكلمات مرور النظام للاستخراج.

DownTroy v1 – يقوم برنامج Dropper المستند إلى Go بتشغيل DownTroy المستند إلى AppleScript لتنزيل البرامج النصية الإضافية حتى إعادة التشغيل.

CosmicDoor – محمل C++ (GillyInjector) يحقن بابًا خلفيًا لـ Nim؛ قادر على مسح الملفات بشكل مدمر؛ يقوم بتنزيل SilentSiphon.

RooTroy – يقوم برنامج Nimcore Loader بحقن برنامج Go backdoor لاستطلاع الأجهزة وتنفيذ البرامج الضارة.

RealTimeTroy – يقوم محمل Nimcore بحقن الباب الخلفي Go؛ ويتواصل عبر بروتوكول WSS للتحكم في الملفات والنظام.

SneakMain – حمولة Nim يتم تنفيذها عبر محمل Nimcore لتشغيل أوامر AppleScript الإضافية.

DownTroy v2 – يقوم برنامج CoreKitAgent dropper بتشغيل DownTroy (NimDoor) المستند إلى AppleScript لاسترداد البرامج النصية الإضافية.

SysPhon – برنامج تنزيل C++ من سلالة RustBucket؛ يستخدم للاستطلاع واسترجاع الملفات الثنائية.

بالإضافة إلى ذلك، يقوم SilentSiphon بجمع البيانات الحساسة من:

  • Apple Notes، Telegram، ملحقات متصفح الويب، مديري كلمات المرور
  • منصات المطورين والسحابة: GitHub، GitLab، Bitbucket، npm، Yarn، Python pip، RubyGems، Rust cargo، NET Nuget، AWS، Google Cloud، Microsoft Azure، Oracle Cloud، Akamai، Linode، DigitalOcean، Vercel، Cloudflare، Netlify، Stripe، Firebase، Twilio، CircleCI، Pulumi، HashiCorp
  • منصات البلوكشين: Sui، Solana، NEAR، Aptos، Algorand
  • أدوات النظام: Docker، Kubernetes، OpenAI

الاستطلاع عبر اجتماعات مُفبركة

سجّل المهاجمون مقاطع فيديو في اجتماعات وهمية، بينما استُمدّت صور المشاركين من شبكات مهنية مثل LinkedIn وCrunchbase وX (تويتر). حُسِّنت بعض الصور باستخدام GPT-4o، مما أضفى لمسة من الواقعية على خدعة الهندسة الاجتماعية.

يُجسّد GhostCall تطور التهديدات الإلكترونية التي تستهدف المديرين التنفيذيين في مجال الويب 3 ورأس المال الاستثماري، إذ يجمع بين الهندسة الاجتماعية المتقدمة، والبرمجيات الخبيثة متعددة المنصات، وتقنيات جمع البيانات المتطورة. وتُعد اليقظة والدفاعات متعددة الطبقات أمرًا بالغ الأهمية لمواجهة هذه الحملات المرتبطة بكوريا الشمالية.

الشائع

احتيال بشأن إرسال طرود عبر DHL Express

التصيد الاحتيالي, رسائل إلكترونية مزعجة
حذّر باحثو الأمن السيبراني من حملة تصيد احتيالي خادعة تُعرف باسم احتيال DHL Express Parcel Misplacement. تُقدّم هذه الرسائل الإلكترونية الاحتيالية على أنها إشعارات تسليم رسمية يُفترض أنها مرسلة من DHL. تدّعي هذه الرسائل عادةً أنه يجب على المستلم التحقق من عنوانه أو تأكيد التسليم لمنع فقدان الطرد. في الواقع، هذه الادعاءات كاذبة تمامًا - فهذه الرسائل الإلكترونية غير مرتبطة بـ DHL أو أي شركة أو...

برنامج LinkPro Linux Rootkit

برامج روتكيت, الأبواب الخلفية
كشف اختراق حديث لبيئة خدمات أمازون ويب (AWS) عن برنامج روتكيت (rootkit) يعمل بنظام جنو/لينكس، لم يُوثّق سابقًا، ويُتبّع باسم LinkPro. يتميز هذا الباب الخلفي باستخدامه المزدوج لوحدات eBPF: مجموعة لإخفاء الآثار، وأخرى تعمل كمُحفّز خفي - "نقرة" تُفعّل وظيفة الأوامر عن بُعد فقط بعد رؤية حزمة TCP مُصمّمة خصيصًا. تُظهر سلسلة الهجمات وآليات البرنامج الخبيث مُشغّلًا مُتطوّرًا يمزج بين إساءة استخدام...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
32,985
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...