Slevová nabídka pro více licencí
Databáze hrozeb Malware Kampaň s malwarem GhostCall

Kampaň s malwarem GhostCall

V roce Mezo v roce Malware
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili sofistikovanou kampaň zaměřenou na sektory Web3 a blockchainu, která je sledována jako GhostCall. Operace je součástí širší iniciativy SnatchCrypto, propojené se Severní Koreou, která je aktivní nejméně od roku 2017. Hrozba je připisována subklastru BlueNoroff ze skupiny Lazarus, známému také pod různými aliasy, včetně APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet a Stardust Chollima.

Oběti kampaně byly identifikovány na několika hostitelských systémech macOS v Japonsku, Itálii, Francii, Singapuru, Turecku, Španělsku, Švédsku, Indii a Hongkongu.

Sofistikované techniky sociálního inženýrství a phishingu

GhostCall se silně zaměřuje na zařízení macOS vedoucích pracovníků technologických společností a firem rizikového kapitálu. Útočníci kontaktují cíle přímo prostřednictvím platforem, jako je Telegram, a zvou je na schůzky týkající se investic pořádané na phishingových webových stránkách podobných Zoomu.

Klíčové aspekty útoku:

  • Oběti se připojují k falešným hovorům obsahujícím skutečné nahrávky jiných obětí namísto deepfakes.
  • Během hovoru jsou uživatelé vyzváni k „aktualizaci“ Zoomu nebo Teams pomocí škodlivého skriptu.
  • Skript stahuje ZIP soubory, které na hostiteli iniciují vícestupňové infekční řetězce.

Kampaň je aktivní od poloviny roku 2023, pravděpodobně po kampani RustBucket, která znamenala strategický přechod skupiny k útokům zaměřeným na macOS. Mezi následně nasazené rodiny malwaru patří KANDYKORN, ObjCShellz a TodoSwift.

Klamavé falešné stránky Zoomu a Teams

Cíle, které se dostanou na phishingové stránky GhostCall, zpočátku vidí iluzi živého hovoru, což krátce spustí chybovou zprávu. Zpráva vyzve uživatele ke stažení sady pro vývoj softwaru (SDK) pro Zoom nebo Teams, aby mohli v hovoru pokračovat.

  • V systému macOS se kliknutím na tlačítko „Aktualizovat nyní“ stáhne škodlivý soubor AppleScript.
  • Ve Windows útočníci používají techniku ClickFix k provedení příkazu PowerShellu.
  • Každá interakce s falešným webem je sledována, což útočníkům umožňuje sledovat chování oběti.

Kampaň se od té doby rozšířila ze Zoomu do Microsoft Teams a k pokračování infekčního řetězce se využívají stahování sady TeamsFx SDK.

Malware a infekční řetězce

Bez ohledu na platformu AppleScript instaluje falešné aplikace Zoom nebo Teams a stahuje DownTroy, který shromažďuje hesla ze správců hesel a instaluje další malware s root oprávněními. GhostCall využívá osm různých útočných řetězců, včetně:

ZoomClutch / TeamsClutch – Implantát založený na technologii Swift, který se vydává za Zoom nebo Teams; pro odhalení vyzývá k zadání systémových hesel.

DownTroy v1 – Dropper založený na Go spouští DownTroy založený na AppleScriptu, aby stahoval další skripty do restartu.

CosmicDoor – zavaděč C++ (GillyInjector) vkládá zadní vrátka Nim; schopný destruktivního mazání souborů; stahuje SilentSiphon.

RooTroy – zavaděč Nimcore vkládá backdoor do systému Go pro průzkum zařízení a spouštění malwaru.

RealTimeTroy – zavaděč Nimcore vkládá zadní vrátka do Go; komunikuje přes protokol WSS pro správu souborů a systému.

SneakMain – datová část Nim spuštěná pomocí zavaděče Nimcore pro spuštění dalších příkazů AppleScript.

DownTroy v2 – CoreKitAgent dropper spouští DownTroy (NimDoor) založený na AppleScriptu pro načtení dalších skriptů.

SysPhon – C++ downloader z linie RustBucket; používá se pro průzkum a vyhledávání binárních souborů.

SilentSiphon navíc shromažďuje citlivá data z:

  • Apple Notes, Telegram, rozšíření webových prohlížečů, správci hesel
  • Vývojářské a cloudové platformy: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Blockchainové platformy: Sui, Solana, NEAR, Aptos, Algorand
  • Systémové nástroje: Docker, Kubernetes, OpenAI

Průzkum prostřednictvím zfalšovaných schůzek

Videozáznamy z falešných schůzek byly nahrávány útočníky, zatímco profilové obrázky účastníků pocházely z profesionálních sítí, jako jsou LinkedIn, Crunchbase nebo X (Twitter). Některé obrázky byly vylepšeny pomocí GPT-4o, což tomuto triku sociálního inženýrství dodalo vrstvu realismu.

GhostCall je příkladem vývoje kybernetických hrozeb zaměřených na manažery v oblasti Web3 a rizikového kapitálu, které kombinují pokročilé sociální inženýrství, multiplatformní malware a sofistikované techniky sběru dat. Obezřetnost a vícevrstvá obrana jsou klíčové pro boj s těmito kampaněmi propojenými se Severní Koreou.

Trendy

Podvod s ztraceným balíkem DHL Express

Phishing, Spam
Výzkumníci v oblasti kybernetické bezpečnosti varovali před klamavou phishingovou kampaní známou jako podvod s chybným umístěním balíku DHL Express. Tyto podvodné e-maily jsou maskovány jako oficiální oznámení o doručení, která údajně zasílá DHL. Zprávy obvykle tvrdí, že příjemce musí ověřit svou adresu nebo potvrdit doručení, aby se zabránilo ztrátě balíku. Ve skutečnosti jsou tato tvrzení...

Linuxový rootkit LinkPro

Rootkity, Zadní vrátka
Nedávné narušení prostředí Amazon Web Services (AWS) odhalilo dříve nezdokumentovaný rootkit GNU/Linux, sledovaný jako LinkPro. Tento backdoor je pozoruhodný svým dvojím využitím modulů eBPF: jeden slouží ke skrytí artefaktů a druhý funguje jako nenápadný spouštěč – „klepání“, které probudí funkčnost vzdálených příkazů až po odhalení speciálně vytvořeného TCP paketu. Řetězec útoku a mechanismy...

Nejvíce shlédnuto

Načítání...