Кампания за злонамерен софтуер GhostCall
Изследователи по киберсигурност разкриха сложна кампания, насочена към Web3 и блокчейн секторите, проследена като GhostCall. Операцията е част от по-широка инициатива, свързана със Северна Корея, наречена SnatchCrypto, активна поне от 2017 г. Заплахата се приписва на подклъстера BlueNoroff на Lazarus Group, известен също с множество псевдоними, включително APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet и Stardust Chollima.
Жертви на кампанията са идентифицирани в множество хостове на macOS в Япония, Италия, Франция, Сингапур, Турция, Испания, Швеция, Индия и Хонконг.
Съдържание
Сложни техники за социално инженерство и фишинг
GhostCall се фокусира основно върху macOS устройства на ръководители в технологични компании и фирми за рисков капитал. Нападателите се свързват директно с целите си чрез платформи като Telegram, канейки ги на срещи, свързани с инвестиции, провеждани на фишинг уебсайтове, подобни на Zoom.
Ключови аспекти на атаката:
- Жертвите се присъединяват към фалшиви обаждания, съдържащи истински записи на други жертви, вместо фалшиви съобщения.
- По време на разговора потребителите биват подканени да „актуализират“ Zoom или Teams чрез злонамерен скрипт.
- Скриптът изтегля ZIP файлове, които инициират многоетапни вериги от инфекции на хоста.
Кампанията е активна от средата на 2023 г., вероятно след кампанията RustBucket, която отбеляза стратегическия завой на групата към атаки, фокусирани върху macOS. Последващите внедрени семейства зловреден софтуер включват KANDYKORN, ObjCShellz и TodoSwift.
Подвеждащи фалшиви страници на Zoom и Teams
Целите, попаднали на фишинг страниците на GhostCall, първоначално виждат илюзията за активен разговор, което скоро след това задейства съобщение за грешка. Съобщението подканва потребителите да изтеглят комплект за разработка на софтуер (SDK) за Zoom или Teams, за да продължат разговора.
- В macOS, щракването върху „Актуализирай сега“ изтегля злонамерен AppleScript.
- В Windows, нападателите използват техниката ClickFix , за да изпълнят PowerShell команда.
- Всяко взаимодействие с фалшивия сайт се проследява, което позволява на нападателите да наблюдават поведението на жертвата.
Оттогава кампанията се разшири от Zoom до Microsoft Teams, използвайки изтегляния на TeamsFx SDK, за да продължи веригата на заразяване.
Зловреден софтуер и вериги за заразяване
Независимо от платформата, AppleScript инсталира фалшиви приложения за Zoom или Teams и изтегля DownTroy, който събира пароли от мениджъри на пароли и инсталира допълнителен зловреден софтуер с root права. GhostCall използва осем различни вериги за атака, включително:
ZoomClutch / TeamsClutch – имплант, базиран на Swift, маскиран като Zoom или Teams; изисква системни пароли за извличане на данни.
DownTroy v1 – Базираният на Go дропър стартира DownTroy, базиран на AppleScript, за да изтегля допълнителни скриптове до рестартиране.
CosmicDoor – C++ loader (GillyInjector) инжектира Nim backdoor; способен на деструктивно изтриване на файлове; изтегля SilentSiphon.
RooTroy – Nimcore loader инжектира Go backdoor за разузнаване на устройства и изпълнение на зловреден софтуер.
RealTimeTroy – Nimcore loader инжектира Go backdoor; комуникира чрез WSS протокол за контрол на файлове и система.
SneakMain – Nim полезен товар, изпълнен чрез Nimcore loader за изпълнение на допълнителни AppleScript команди.
DownTroy v2 – CoreKitAgent dropper стартира базиран на AppleScript DownTroy (NimDoor), за да извлече допълнителни скриптове.
SysPhon – C++ програма за изтегляне от линията RustBucket; използвана за разузнаване и извличане на двоични файлове.
Освен това, SilentSiphon събира чувствителни данни от:
- Apple Notes, Telegram, разширения за уеб браузър, мениджъри на пароли
- Платформи за разработчици и облачни технологии: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
- Блокчейн платформи: Sui, Solana, NEAR, Aptos, Algorand
- Системни инструменти: Docker, Kubernetes, OpenAI
Разузнаване чрез изфабрикувани срещи
Видеозаписите от фалшиви срещи са били записани от нападатели, а профилните изображения на участниците са били взети от професионални мрежи като LinkedIn, Crunchbase или X (Twitter). Някои изображения са били подобрени с помощта на GPT-4o, добавяйки слой реализъм към хитростта на социалното инженерство.
GhostCall е пример за еволюцията на киберзаплахите, насочени към ръководители в Web3 и рисковия капитал, съчетавайки усъвършенствано социално инженерство, кросплатформен зловреден софтуер и сложни техники за събиране на данни. Бдителността и многопластовата защита са от решаващо значение за противодействие на тези кампании, свързани със Северна Корея.
