קמפיין תוכנות זדוניות של GhostCall
חוקרי אבטחת סייבר חשפו קמפיין מתוחכם המכוון למגזרי Web3 ובלוקצ'יין, תחת הכותרת GhostCall. המבצע הוא חלק מיוזמה רחבה יותר הקשורה לצפון קוריאה בשם SnatchCrypto, הפעילה לפחות משנת 2017. האיום מיוחס לתת-אשכול קבוצת Lazarus BlueNoroff, הידוע גם בשמות בדויים מרובים, ביניהם APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet ו-Stardust Chollima.
קורבנות הקמפיין זוהו במספר מערכות הפעלה של macOS ביפן, איטליה, צרפת, סינגפור, טורקיה, ספרד, שבדיה, הודו והונג קונג.
תוכן העניינים
טכניקות הנדסה חברתית ופישינג מתוחכמות
GhostCall מתמקדת במידה רבה במכשירי macOS של מנהלים בחברות טכנולוגיה וחברות הון סיכון. תוקפים יוצרים קשר ישיר עם מטרות באמצעות פלטפורמות כמו טלגרם, ומזמינים אותן לפגישות הקשורות להשקעות המתקיימות באתרי פישינג דמויי זום.
היבטים מרכזיים של ההתקפה:
- קורבנות מצטרפים לשיחות מזויפות המכילות הקלטות מקוריות של קורבנות אחרים במקום הזמנות עמוקות.
- במהלך השיחה, המשתמשים מתבקשים 'לעדכן' את זום או את Teams באמצעות סקריפט זדוני.
- הסקריפט מוריד קבצי ZIP אשר יוזמים שרשראות זיהום רב-שלביות על המארח.
הקמפיין פעיל מאז אמצע 2023, ככל הנראה בעקבות קמפיין RustBucket, שסימן את השינוי האסטרטגי של הקבוצה למתקפות המתמקדות ב-macOS. משפחות תוכנות זדוניות נוספות שנפרסו כוללות את KANDYKORN, ObjCShellz ו-TodoSwift.
דפי זום וצוותים מזויפים ומטעים
מטרות הנוחתות בדפי הפישינג של GhostCall רואות בתחילה אשליה של שיחה חיה, מה שמפעיל עד מהרה הודעת שגיאה. ההודעה מבקשת מהמשתמשים להוריד ערכת פיתוח תוכנה (SDK) של Zoom או Teams כדי להמשיך את השיחה.
- ב-macOS, לחיצה על 'עדכן עכשיו' מורידה AppleScript זדוני.
- ב-Windows, תוקפים משתמשים בטכניקת ClickFix כדי לבצע פקודת PowerShell.
- כל אינטראקציה עם האתר המזויף עוברת מעקב, מה שמאפשר לתוקפים לנטר את התנהגות הקורבן.
הקמפיין התרחב מאז מ-Zoom ל-Microsoft Teams, תוך שימוש בהורדות של TeamsFx SDK כדי להמשיך את שרשרת ההדבקה.
תוכנות זדוניות ושרשראות זיהום
ללא קשר לפלטפורמה, AppleScript מתקין אפליקציות Zoom או Teams מזויפות ומוריד את DownTroy, שאוסף סיסמאות ממנהלי סיסמאות ומתקין תוכנות זדוניות נוספות עם הרשאות root. GhostCall ממנף שמונה שרשראות תקיפה שונות, כולל:
ZoomClutch / TeamsClutch – שתל מבוסס Swift המתחזה לזום או ל-Teams; מבקש סיסמאות מערכת לצורך חילוץ.
DownTroy גרסה 1 – תוכנת dropper מבוססת Go מפעילה את DownTroy מבוססת AppleScript כדי להוריד סקריפטים נוספים עד לאתחול מחדש.
CosmicDoor – טוען C++ (GillyInjector) מזריק דלת אחורית של Nim; מסוגל למחוק קבצים בצורה הרסנית; מוריד את SilentSiphon.
RooTroy – טוען Nimcore מזריק דלת אחורית של Go לצורך סיור מכשירים וביצוע תוכנות זדוניות.
RealTimeTroy – טוען Nimcore מזריק דלת אחורית של Go; מתקשר דרך פרוטוקול WSS לבקרת קבצים ומערכות.
SneakMain – מטען Nim שבוצע באמצעות טוען Nimcore כדי להריץ פקודות AppleScript נוספות.
DownTroy גרסה 2 – תוכנת CoreKitAgent מפעילה את DownTroy מבוסס AppleScript (NimDoor) כדי לאחזר סקריפטים נוספים.
SysPhon – תוכנת הורדת ++C משושלת RustBucket; משמשת לסיור ואחזור קבצים בינאריים.
בנוסף, SilentSiphon אוספת נתונים רגישים מ:
- Apple Notes, Telegram, הרחבות דפדפן אינטרנט, מנהלי סיסמאות
- פלטפורמות מפתחים וענן: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
- פלטפורמות בלוקצ'יין: Sui, Solana, NEAR, Aptos, Algorand
- כלי מערכת: Docker, Kubernetes, OpenAI
סיור באמצעות פגישות מפוברקות
שידורי הווידאו בפגישות המזויפות הוקלטו על ידי תוקפים, בעוד שתמונות הפרופיל של המשתתפים נלקחו מרשתות מקצועיות כמו לינקדאין, Crunchbase או X (טוויטר). חלק מהתמונות שופרו באמצעות GPT-4o, מה שהוסיף שכבת ריאליזם לתכסיס ההנדסה החברתית.
GhostCall מדגימה את התפתחות איומי הסייבר המכוונים נגד מנהלים בתחומי Web3 והון סיכון, ומשלבת הנדסה חברתית מתקדמת, תוכנות זדוניות חוצות פלטפורמות וטכניקות מתוחכמות לאיסוף נתונים. ערנות והגנות רב-שכבתיות הן קריטיות להתמודדות עם קמפיינים אלה המקושרים לצפון קוריאה.
