Εκστρατεία κακόβουλου λογισμικού GhostCall
Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια εξελιγμένη εκστρατεία που στοχεύει τους τομείς Web3 και blockchain, η οποία παρακολουθείται ως GhostCall. Η επιχείρηση αποτελεί μέρος μιας ευρύτερης πρωτοβουλίας που συνδέεται με τη Βόρεια Κορέα και ονομάζεται SnatchCrypto, η οποία δραστηριοποιείται τουλάχιστον από το 2017. Η απειλή αποδίδεται στο υποσύνολο BlueNoroff της Lazarus Group, γνωστό και με πολλά ψευδώνυμα, όπως τα APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet και Stardust Chollima.
Θύματα της εκστρατείας έχουν εντοπιστεί σε πολλαπλούς κεντρικούς υπολογιστές macOS στην Ιαπωνία, την Ιταλία, τη Γαλλία, τη Σιγκαπούρη, την Τουρκία, την Ισπανία, τη Σουηδία, την Ινδία και το Χονγκ Κονγκ.
Πίνακας περιεχομένων
Εξελιγμένες τεχνικές κοινωνικής μηχανικής και ηλεκτρονικού “ψαρέματος” (phishing)
Το GhostCall επικεντρώνεται σε μεγάλο βαθμό σε συσκευές macOS στελεχών σε εταιρείες τεχνολογίας και εταιρείες επιχειρηματικών κεφαλαίων. Οι επιτιθέμενοι επικοινωνούν απευθείας με τους στόχους μέσω πλατφορμών όπως το Telegram, προσκαλώντας τους σε συναντήσεις σχετικές με επενδύσεις που φιλοξενούνται σε ιστότοπους ηλεκτρονικού "ψαρέματος" τύπου Zoom.
Βασικά σημεία της επίθεσης:
- Τα θύματα συμμετέχουν σε ψεύτικες κλήσεις που περιέχουν γνήσιες ηχογραφήσεις άλλων θυμάτων αντί για deepfakes.
- Κατά τη διάρκεια της κλήσης, οι χρήστες καλούνται να «ενημερώσουν» το Zoom ή το Teams μέσω ενός κακόβουλου σεναρίου.
- Το σενάριο κατεβάζει αρχεία ZIP που ξεκινούν αλυσίδες μόλυνσης πολλαπλών σταδίων στον κεντρικό υπολογιστή.
Η καμπάνια είναι ενεργή από τα μέσα του 2023, πιθανώς μετά την καμπάνια RustBucket, η οποία σηματοδότησε τη στρατηγική στροφή της ομάδας σε επιθέσεις που επικεντρώνονται στο macOS. Οι επόμενες οικογένειες κακόβουλου λογισμικού που αναπτύχθηκαν περιλαμβάνουν τα KANDYKORN, ObjCShelz και TodoSwift.
Παραπλανητικές ψεύτικες σελίδες Zoom και Teams
Οι στόχοι που προσγειώνονται στις σελίδες ηλεκτρονικού "ψαρέματος" (phishing) του GhostCall αρχικά βλέπουν μια ψευδαίσθηση μιας ζωντανής κλήσης, η οποία σύντομα ενεργοποιεί ένα μήνυμα σφάλματος. Το μήνυμα ζητά από τους χρήστες να κατεβάσουν ένα κιτ ανάπτυξης λογισμικού (SDK) Zoom ή Teams για να συνεχίσουν την κλήση.
- Σε macOS, κάνοντας κλικ στην επιλογή «Ενημέρωση τώρα» γίνεται λήψη ενός κακόβουλου AppleScript.
- Στα Windows, οι εισβολείς χρησιμοποιούν την τεχνική ClickFix για να εκτελέσουν μια εντολή PowerShell.
- Κάθε αλληλεπίδραση με τον ψεύτικο ιστότοπο παρακολουθείται, επιτρέποντας στους εισβολείς να παρακολουθούν τη συμπεριφορά των θυμάτων.
Η καμπάνια έχει έκτοτε επεκταθεί από το Zoom στο Microsoft Teams, χρησιμοποιώντας λήψεις του TeamsFx SDK για να συνεχίσει την αλυσίδα μόλυνσης.
Κακόβουλο λογισμικό και αλυσίδες μολύνσεων
Ανεξάρτητα από την πλατφόρμα, το AppleScript εγκαθιστά ψεύτικες εφαρμογές Zoom ή Teams και κατεβάζει το DownTroy, το οποίο συλλέγει κωδικούς πρόσβασης από διαχειριστές κωδικών πρόσβασης και εγκαθιστά επιπλέον κακόβουλο λογισμικό με δικαιώματα root. Το GhostCall αξιοποιεί οκτώ ξεχωριστές αλυσίδες επίθεσης, όπως:
ZoomClutch / TeamsClutch – Εμφύτευμα βασισμένο στο Swift που μεταμφιέζεται σε Zoom ή Teams· ζητά κωδικούς πρόσβασης συστήματος για εξαγωγή.
DownTroy v1 – Το dropper που βασίζεται σε Go εκκινεί το DownTroy που βασίζεται σε AppleScript για λήψη πρόσθετων σεναρίων μέχρι την επανεκκίνηση.
CosmicDoor – Το πρόγραμμα φόρτωσης C++ (GillyInjector) εγχέει ένα backdoor Nim. Ικανό για καταστροφικό σβήσιμο αρχείων. Κατεβάζει το SilentSiphon.
RooTroy – Ο φορτωτής Nimcore εισάγει backdoor στο Go για αναγνώριση συσκευών και εκτέλεση κακόβουλου λογισμικού.
RealTimeTroy – Ο φορτωτής Nimcore εισάγει το backdoor της Go· επικοινωνεί μέσω πρωτοκόλλου WSS για έλεγχο αρχείων και συστήματος.
SneakMain – Το ωφέλιμο φορτίο Nim εκτελείται μέσω του φορτωτή Nimcore για την εκτέλεση πρόσθετων εντολών AppleScript.
DownTroy v2 – Το dropper CoreKitAgent εκκινεί το DownTroy (NimDoor) που βασίζεται σε AppleScript για την ανάκτηση πρόσθετων σεναρίων.
SysPhon – Πρόγραμμα λήψης C++ από τη σειρά RustBucket· χρησιμοποιείται για αναγνώριση και ανάκτηση δυαδικών αρχείων.
Επιπλέον, το SilentSiphon συλλέγει ευαίσθητα δεδομένα από:
- Apple Notes, Telegram, επεκτάσεις προγράμματος περιήγησης ιστού, διαχειριστές κωδικών πρόσβασης
- Πλατφόρμες προγραμματιστών και cloud: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
- Πλατφόρμες Blockchain: Sui, Solana, NEAR, Aptos, Algorand
- Εργαλεία συστήματος: Docker, Kubernetes, OpenAI
Αναγνώριση μέσω κατασκευασμένων συναντήσεων
Οι ροές βίντεο σε ψεύτικες συναντήσεις καταγράφηκαν από τους εισβολείς, ενώ οι εικόνες προφίλ των συμμετεχόντων προέρχονταν από επαγγελματικά δίκτυα όπως το LinkedIn, το Crunchbase ή το X (Twitter). Ορισμένες εικόνες βελτιωθήκαν χρησιμοποιώντας το GPT-4o, προσθέτοντας ένα επίπεδο ρεαλισμού στο τέχνασμα κοινωνικής μηχανικής.
Το GhostCall αποτελεί παράδειγμα της εξέλιξης των κυβερνοαπειλών που στοχεύουν στελέχη στον τομέα του Web3 και των επιχειρηματικών κεφαλαίων, συνδυάζοντας προηγμένη κοινωνική μηχανική, κακόβουλο λογισμικό πολλαπλών πλατφορμών και εξελιγμένες τεχνικές συλλογής δεδομένων. Η επαγρύπνηση και οι πολυεπίπεδες άμυνες είναι κρίσιμες για την αντιμετώπιση αυτών των καμπανιών που συνδέονται με τη Βόρεια Κορέα.
