Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma GhostCall-haittaohjelmakampanja

GhostCall-haittaohjelmakampanja

Vuonna Mezo vuonna Haittaohjelma
Käännä:

Kyberturvallisuustutkijat ovat paljastaneet hienostuneen kampanjan, joka kohdistuu Web3- ja lohkoketjusektoreihin ja jota seurataan nimellä GhostCall. Operaatio on osa laajempaa Pohjois-Koreaan kytköksissä olevaa SnatchCrypto-aloitetta, joka on toiminut ainakin vuodesta 2017 lähtien. Uhkan on katsottu johtuvan Lazarus Groupin BlueNoroff-alaklusterista, joka tunnetaan myös useilla aliaksilla, kuten APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet ja Stardust Chollima.

Kampanjan uhreja on tunnistettu useilla macOS-isäntäpalveluilla Japanissa, Italiassa, Ranskassa, Singaporessa, Turkissa, Espanjassa, Ruotsissa, Intiassa ja Hongkongissa.

Kehittyneet sosiaalisen manipuloinnin ja tietojenkalastelutekniikat

GhostCall keskittyy vahvasti teknologiayritysten ja riskipääomayhtiöiden johtajien macOS-laitteisiin. Hyökkääjät ottavat suoraan yhteyttä kohteisiin Telegramin kaltaisten alustojen kautta ja kutsuvat heitä sijoitusaiheisiin kokouksiin, joita isännöidään Zoomin kaltaisilla tietojenkalastelusivustoilla.

Hyökkäyksen pääkohdat:

  • Uhrit liittyvät valepuheluihin, jotka sisältävät aitoja tallenteita muista uhreista deepfake-tiedostojen sijaan.
  • Puhelun aikana käyttäjiä pyydetään päivittämään Zoom tai Teams haitallisen komentosarjan avulla.
  • Skripti lataa ZIP-tiedostoja, jotka käynnistävät monivaiheisia tartuntaketjuja isännässä.

Kampanja on ollut aktiivinen vuoden 2023 puolivälistä lähtien, todennäköisesti RustBucket-kampanjan jälkeen, joka merkitsi ryhmän strategista käännekohtaa macOS-keskeisiin hyökkäyksiin. Myöhemmin käyttöön otettuihin haittaohjelmaperheisiin kuuluvat KANDYKORN, ObjCShellz ja TodoSwift.

Harhaanjohtavat väärennetyt Zoom- ja Teams-sivut

GhostCall-huijaussivustoille osuvat kohteet näkevät aluksi illuusion käynnissä olevasta puhelusta, mikä laukaisee pian virheilmoituksen. Viesti kehottaa käyttäjiä lataamaan Zoom- tai Teams-ohjelmistokehityspaketin (SDK) puhelun jatkamiseksi.

  • macOS:ssä "Päivitä nyt" -painikkeen napsauttaminen lataa haitallisen AppleScript-koodin.
  • Windowsissa hyökkääjät käyttävät ClickFix-tekniikkaa PowerShell-komennon suorittamiseen.
  • Jokainen vuorovaikutus väärennetyn sivuston kanssa seurataan, jolloin hyökkääjät voivat tarkkailla uhrin käyttäytymistä.

Kampanja on sittemmin laajentunut Zoomista Microsoft Teamsiin ja tartuntaketjua on jatkettu TeamsFx SDK -latausten avulla.

Haittaohjelmat ja tartuntaketjut

Alustasta riippumatta AppleScript asentaa väärennettyjä Zoom- tai Teams-sovelluksia ja lataa DownTroyn, joka kerää salasanoja salasananhallintaohjelmista ja asentaa lisää haittaohjelmia pääkäyttäjän oikeuksilla. GhostCall hyödyntää kahdeksaa erillistä hyökkäysketjua, mukaan lukien:

ZoomClutch / TeamsClutch – Swift-pohjainen implantti, joka naamioituu Zoomiksi tai Teamsiksi; pyytää järjestelmäsalasanoja tietoturvan purkamista varten.

DownTroy v1 – Go-pohjainen dropper käynnistää AppleScript-pohjaisen DownTroyn ladatakseen lisää skriptejä uudelleenkäynnistykseen asti.

CosmicDoor – C++-lataaja (GillyInjector) lisää Nim-takaportin; kykenee tuhoisaan tiedostojen pyyhkimiseen; lataa SilentSiphonin.

RooTroy – Nimcore-lataaja lisää Go-takaoven laitteiden tiedustelua ja haittaohjelmien suorittamista varten.

RealTimeTroy – Nimcore-lataaja lisää Go-takaportin; kommunikoi WSS-protokollan kautta tiedostojen ja järjestelmän hallintaa varten.

SneakMain – Nim-hyötykuorma, joka suoritetaan Nimcore-lataajan kautta ylimääräisten AppleScript-komentojen suorittamiseksi.

DownTroy v2 – CoreKitAgent-dropper käynnistää AppleScript-pohjaisen DownTroyn (NimDoor) lisäskriptien hakemiseksi.

SysPhon – C++-latausohjelma RustBucket-linjasta; käytetään tiedusteluun ja binääritiedostojen hakemiseen.

Lisäksi SilentSiphon kerää arkaluonteisia tietoja seuraavista lähteistä:

  • Apple Notes, Telegram, verkkoselaimen laajennukset, salasananhallintaohjelmat
  • Kehittäjä- ja pilvialustat: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Blockchain-alustat: Sui, Solana, NEAR, Aptos, Algorand
  • Järjestelmätyökalut: Docker, Kubernetes, OpenAI

Tiedustelu tekaistujen kokousten kautta

Hyökkääjät nauhoittivat väärennettyjen kokousten videosyötteet, kun taas osallistujien profiilikuvat olivat peräisin ammattimaisista verkostoista, kuten LinkedInistä, Crunchbasesta tai X:stä (Twitter). Joitakin kuvia paranneltiin GPT-4o:lla, mikä lisäsi realismin sosiaalisen manipuloinnin juoneen.

GhostCall on esimerkki Web3-alan johtajiin ja riskipääomasijoittajiin kohdistuvien kyberuhkien kehityksestä yhdistäen edistynyttä sosiaalista manipulointia, alustojen välisiä haittaohjelmia ja hienostuneita tiedonkeruutekniikoita. Valppaus ja monikerroksiset puolustusmekanismit ovat ratkaisevan tärkeitä näiden Pohjois-Koreaan liittyvien kampanjoiden torjumiseksi.

Trendaavat

DHL Express -paketin väärään paikkaan sijoittamista...

Tietojenkalastelu, Roskaposti
Kyberturvallisuustutkijat ovat varoittaneet harhaanjohtavasta tietojenkalastelukampanjasta, joka tunnetaan nimellä DHL Express Parcel Misplacement Scam. Nämä vilpilliset sähköpostit on naamioitu virallisiksi toimitusilmoituksiksi, joiden oletetaan olevan DHL:n lähettämiä. Viesteissä väitetään tyypillisesti, että vastaanottajan on vahvistettava osoitteensa tai vahvistettava toimitus estääkseen...

Eniten katsottu

Ladataan...