Rabattilbud med flere licenser
Trusseldatabase Malware GhostCall Malware-kampagne

GhostCall Malware-kampagne

Med Mezo i Malware
Oversæt til:

Cybersikkerhedsforskere har afsløret en sofistikeret kampagne rettet mod Web3- og blockchain-sektorerne, sporet som GhostCall. Operationen er en del af et bredere Nordkorea-relateret initiativ kaldet SnatchCrypto, der har været aktivt siden mindst 2017. Truslen tilskrives Lazarus Group-underklyngen BlueNoroff, også kendt under flere aliaser, herunder APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet og Stardust Chollima.

Ofre for kampagnen er blevet identificeret på tværs af flere macOS-værter i Japan, Italien, Frankrig, Singapore, Tyrkiet, Spanien, Sverige, Indien og Hongkong.

Avancerede social engineering- og phishing-teknikker

GhostCall fokuserer i høj grad på macOS-enheder tilhørende ledere i tech-virksomheder og venturekapitalfirmaer. Angribere kontakter mål direkte via platforme som Telegram og inviterer dem til investeringsrelaterede møder, der afholdes på Zoom-lignende phishing-websteder.

Nøgleaspekter af angrebet:

  • Ofre deltager i falske opkald, der indeholder ægte optagelser af andre ofre i stedet for deepfakes.
  • Under opkaldet bliver brugerne bedt om at 'opdatere' Zoom eller Teams via et ondsindet script.
  • Scriptet downloader ZIP-filer, der starter flertrinsinfektionskæder på værten.

Kampagnen har været aktiv siden midten af 2023, sandsynligvis efter RustBucket-kampagnen, som markerede gruppens strategiske skift til macOS-fokuserede angreb. Efterfølgende malware-familier, der er blevet implementeret, omfatter KANDYKORN, ObjCShellz og TodoSwift.

Vildledende falske Zoom- og Teams-sider

Mål, der lander på GhostCalls phishing-sider, ser i første omgang en illusion af et live-opkald, hvilket kortvarigt udløser en fejlmeddelelse. Meddelelsen beder brugerne om at downloade et Zoom- eller Teams Software Development Kit (SDK) for at fortsætte opkaldet.

  • På macOS downloader du et skadeligt AppleScript, når du klikker på 'Opdater nu'.
  • På Windows bruger angribere ClickFix-teknikken til at udføre en PowerShell-kommando.
  • Enhver interaktion med det falske websted spores, hvilket giver angriberne mulighed for at overvåge ofrets adfærd.

Kampagnen er siden blevet udvidet fra Zoom til Microsoft Teams, hvor downloads af TeamsFx SDK har vist sig at fortsætte infektionskæden.

Malware og infektionskæder

Uanset platformen installerer AppleScript falske Zoom- eller Teams-apps og downloader DownTroy, som indsamler adgangskoder fra adgangskodeadministratorer og installerer yderligere malware med root-rettigheder. GhostCall udnytter otte forskellige angrebskæder, herunder:

ZoomClutch / TeamsClutch – Swift-baseret implantat, der udgiver sig for at være Zoom eller Teams; beder om systemadgangskoder til eksfiltrering.

DownTroy v1 – Go-baseret dropper starter AppleScript-baseret DownTroy for at downloade yderligere scripts indtil genstart.

CosmicDoor – C++-loader (GillyInjector) injicerer en Nim-bagdør; i stand til destruktiv filsletning; downloader SilentSiphon.

RooTroy – Nimcore-loader injicerer Go-bagdør til enhedsrekognoscering og udførelse af malware.

RealTimeTroy – Nimcore-loader injicerer Go-bagdør; kommunikerer via WSS-protokollen til fil- og systemkontrol.

SneakMain – Nim-nyttelast udført via Nimcore-loader for at køre yderligere AppleScript-kommandoer.

DownTroy v2 – CoreKitAgent-dropperen starter AppleScript-baseret DownTroy (NimDoor) for at hente yderligere scripts.

SysPhon – C++ downloader fra RustBucket-slægten; brugt til rekognoscering og binær hentning.

Derudover indsamler SilentSiphon følsomme data fra:

  • Apple Notes, Telegram, webbrowserudvidelser, adgangskodeadministratorer
  • Udvikler- og cloudplatforme: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Blockchain-platforme: Sui, Solana, NEAR, Aptos, Algorand
  • Systemværktøjer: Docker, Kubernetes, OpenAI

Rekognoscering via fabrikerede møder

Videofeedsene i falske møder blev optaget af angribere, mens profilbilleder af deltagerne blev hentet fra professionelle netværk som LinkedIn, Crunchbase eller X (Twitter). Nogle billeder blev forbedret ved hjælp af GPT-4o, hvilket tilføjede et lag af realisme til social engineering-knep.

GhostCall eksemplificerer udviklingen af cybertrusler rettet mod ledere i Web3 og venturekapital, og kombinerer avanceret social engineering, cross-platform malware og sofistikerede dataindsamlingsteknikker. Årvågenhed og flerlagsforsvar er afgørende for at imødegå disse Nordkorea-relaterede kampagner.

Trending

Mest sete

Indlæser...