GhostCalli pahavara kampaania
Küberjulgeoleku uurijad on paljastanud keeruka kampaania, mis on suunatud Web3 ja plokiahela sektoritele ja mida jälgitakse nime all GhostCall. Operatsioon on osa laiemast Põhja-Koreaga seotud algatusest nimega SnatchCrypto, mis on aktiivne vähemalt alates 2017. aastast. Ohu põhjuseks peetakse Lazarus Groupi alamklastrit BlueNoroff, mida tuntakse ka mitmete varjunimede all, sealhulgas APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet ja Stardust Chollima.
Kampaania ohvreid on tuvastatud mitmetes macOS-i hostides Jaapanis, Itaalias, Prantsusmaal, Singapuris, Türgis, Hispaanias, Rootsis, Indias ja Hongkongis.
Sisukord
Keerukad sotsiaalse manipuleerimise ja andmepüügi tehnikad
GhostCall keskendub suuresti tehnoloogiaettevõtete ja riskikapitalifirmade juhtide macOS-seadmetele. Ründajad võtavad sihtmärkidega otse ühendust selliste platvormide kaudu nagu Telegram, kutsudes neid investeerimisalastele kohtumistele, mida korraldatakse Zoom-laadsetel andmepüügiveebisaitidel.
Rünnaku põhipunktid:
- Ohvrid liituvad võltskõnedega, mis sisaldavad süvavõltsinguid, mitte teiste ohvrite ehtsaid salvestisi.
- Kõne ajal palutakse kasutajatel pahatahtliku skripti abil Zoomi või Teamsi värskendada.
- Skript laadib alla ZIP-failid, mis käivitavad hostis mitmeastmelised nakkusahelad.
Kampaania on olnud aktiivne alates 2023. aasta keskpaigast, tõenäoliselt pärast RustBucketi kampaaniat, mis tähistas grupi strateegilist pöördepunkti macOS-ile keskendunud rünnakute suunas. Järgnevalt kasutusele võetud pahavaraperekondade hulka kuuluvad KANDYKORN, ObjCShellz ja TodoSwift.
Petlikud võltsitud Zoomi ja Teamsi lehed
GhostCalli andmepüügilehtedele maanduvad sihtmärgid näevad esialgu reaalajas kõne illusiooni, mis käivitab peagi veateate. Teade palub kasutajatel kõne jätkamiseks alla laadida Zoomi või Teamsi tarkvaraarenduskomplekti (SDK).
- macOS-is laadib nupule „Uuenda kohe” klõpsamine alla pahatahtliku AppleScripti.
- Windowsis kasutavad ründajad PowerShelli käsu käivitamiseks ClickFixi tehnikat .
- Iga suhtlust võltsitud saidiga jälgitakse, mis võimaldab ründajatel ohvri käitumist jälgida.
Kampaania on sellest ajast alates laienenud Zoomilt Microsoft Teamsile, kasutades nakkusahela jätkamiseks TeamsFx SDK allalaadimisi.
Pahavara ja nakkusahelad
Olenemata platvormist installib AppleScript võltsitud Zoomi või Teamsi rakendused ja laadib alla DownTroy, mis kogub paroole paroolihalduritest ja installib täiendavat pahavara juurõigustega. GhostCall kasutab kaheksat erinevat rünnakuahelat, sealhulgas:
ZoomClutch / TeamsClutch – Swifti-põhine implantaat, mis maskeerub Zoomiks või Teamsiks; küsib süsteemiparoole väljaviimiseks.
DownTroy v1 – Go-põhine tilguti käivitab AppleScript-põhise DownTroy, et laadida alla täiendavaid skripte kuni taaskäivitamiseni.
CosmicDoor – C++ laadur (GillyInjector) lisab Nim-tagaukse; võimeline hävitavalt faile kustutama; laadib alla SilentSiphoni.
RooTroy – Nimcore'i laadur süstib Go tagaukse seadmete luureks ja pahavara käivitamiseks.
RealTimeTroy – Nimcore'i laadur lisab Go tagaukse; suhtleb failide ja süsteemi juhtimiseks WSS-protokolli kaudu.
SneakMain – Nimcore'i laaduri kaudu käivitatav Nimi kasulik koormus täiendavate AppleScripti käskude käivitamiseks.
DownTroy v2 – CoreKitAgenti tilguti käivitab AppleScriptil põhineva DownTroy (NimDoor) täiendavate skriptide hankimiseks.
SysPhon – C++ allalaadija RustBucketi perekonnast; kasutatakse luureks ja binaarfailide otsimiseks.
Lisaks kogub SilentSiphon tundlikke andmeid järgmistest allikatest:
- Apple Notes, Telegram, veebibrauseri laiendused, paroolihaldurid
- Arendaja- ja pilveplatvormid: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
- Plokiahela platvormid: Sui, Solana, NEAR, Aptos, Algorand
- Süsteemitööriistad: Docker, Kubernetes, OpenAI
Luure läbi fabritseeritud koosolekute
Võltsitud koosolekute videoülekanded salvestasid ründajad, samas kui osalejate profiilipildid pärinesid professionaalsetest võrgustikest nagu LinkedIn, Crunchbase või X (Twitter). Mõnda pilti täiustati GPT-4o abil, lisades sotsiaalse manipuleerimise võttele realismi kihi.
GhostCall on hea näide küberohtude arengust, mis on suunatud Web3 ja riskikapitali valdkonna juhtidele, ühendades endas täiustatud sotsiaalse manipuleerimise, platvormideülese pahavara ja keerukad andmete kogumise tehnikad. Valvsus ja mitmekihiline kaitse on Põhja-Koreaga seotud kampaaniate tõrjumiseks üliolulised.
