घोस्टकॉल मैलवेयर अभियान
साइबर सुरक्षा शोधकर्ताओं ने वेब3 और ब्लॉकचेन क्षेत्रों को निशाना बनाने वाले एक परिष्कृत अभियान का खुलासा किया है, जिसे घोस्टकॉल के नाम से जाना जाता है। यह अभियान उत्तर कोरिया से जुड़ी एक व्यापक पहल, स्नैचक्रिप्टो का हिस्सा है, जो कम से कम 2017 से सक्रिय है। इस खतरे का श्रेय लाज़ारस समूह के उप-क्लस्टर ब्लूनोरॉफ़ को दिया जा रहा है, जिसे APT38, केजीकैमेलियन, क्रिप्टोकोर, जिनी स्पाइडर, निकल ग्लैडस्टोन, सैफायर स्लीट और स्टारडस्ट चोलिमा जैसे कई उपनामों से भी जाना जाता है।
इस अभियान के पीड़ितों की पहचान जापान, इटली, फ्रांस, सिंगापुर, तुर्की, स्पेन, स्वीडन, भारत और हांगकांग में कई macOS होस्टों पर की गई है।
विषयसूची
परिष्कृत सोशल इंजीनियरिंग और फ़िशिंग तकनीकें
घोस्टकॉल मुख्य रूप से तकनीकी कंपनियों और वेंचर कैपिटल फर्मों के अधिकारियों के macOS उपकरणों पर केंद्रित है। हमलावर टेलीग्राम जैसे प्लेटफ़ॉर्म के ज़रिए सीधे अपने लक्ष्यों से संपर्क करते हैं और उन्हें ज़ूम जैसी फ़िशिंग वेबसाइटों पर आयोजित निवेश-संबंधी बैठकों में आमंत्रित करते हैं।
हमले के मुख्य पहलू:
- पीड़ित, डीपफेक के बजाय अन्य पीड़ितों की वास्तविक रिकॉर्डिंग वाले फर्जी कॉल में शामिल हो जाते हैं।
- कॉल के दौरान, उपयोगकर्ताओं को दुर्भावनापूर्ण स्क्रिप्ट के माध्यम से ज़ूम या टीम्स को 'अपडेट' करने के लिए कहा जाता है।
- स्क्रिप्ट ZIP फ़ाइलें डाउनलोड करती है जो होस्ट पर बहु-चरणीय संक्रमण श्रृंखला आरंभ करती हैं।
यह अभियान 2023 के मध्य से सक्रिय है, संभवतः रस्टबकेट अभियान के बाद, जिसने समूह की macOS-केंद्रित हमलों की रणनीतिक दिशा को चिह्नित किया। इसके बाद तैनात किए गए मैलवेयर परिवारों में KANDYKORN, ObjCShellz और TodoSwift शामिल हैं।
भ्रामक नकली ज़ूम और टीम्स पेज
घोस्टकॉल फ़िशिंग पेज पर आने वाले टारगेट को शुरुआत में एक लाइव कॉल का भ्रम दिखाई देता है, जो कुछ ही देर में एक त्रुटि संदेश प्रदर्शित करता है। यह संदेश उपयोगकर्ताओं को कॉल जारी रखने के लिए ज़ूम या टीम्स सॉफ़्टवेयर डेवलपमेंट किट (SDK) डाउनलोड करने के लिए प्रेरित करता है।
- macOS पर, 'अभी अपडेट करें' पर क्लिक करने से एक दुर्भावनापूर्ण AppleScript डाउनलोड हो जाती है।
- विंडोज़ पर, हमलावर पावरशेल कमांड को निष्पादित करने के लिए क्लिकफिक्स तकनीक का उपयोग करते हैं।
- नकली साइट के साथ प्रत्येक संपर्क पर नज़र रखी जाती है, जिससे हमलावरों को पीड़ित के व्यवहार पर नज़र रखने में मदद मिलती है।
इसके बाद से यह अभियान ज़ूम से माइक्रोसॉफ्ट टीम्स तक विस्तारित हो गया है, तथा संक्रमण श्रृंखला को जारी रखने के लिए टीम्सएफएक्स एसडीके डाउनलोड का उपयोग किया जा रहा है।
मैलवेयर और संक्रमण श्रृंखलाएँ
प्लेटफ़ॉर्म चाहे जो भी हो, AppleScript नकली ज़ूम या टीम्स ऐप इंस्टॉल करता है और डाउनट्रॉय डाउनलोड करता है, जो पासवर्ड मैनेजरों से पासवर्ड चुराता है और रूट विशेषाधिकारों के साथ अतिरिक्त मैलवेयर इंस्टॉल करता है। GhostCall आठ अलग-अलग हमले श्रृंखलाओं का लाभ उठाता है, जिनमें शामिल हैं:
ज़ूमक्लच / टीम्सक्लच - ज़ूम या टीम्स के रूप में प्रच्छन्न स्विफ्ट-आधारित प्रत्यारोपण; एक्सफ़िलट्रेशन के लिए सिस्टम पासवर्ड का संकेत देता है।
डाउनट्रॉय v1 - गो-आधारित ड्रॉपर रिबूट तक अतिरिक्त स्क्रिप्ट डाउनलोड करने के लिए एप्पलस्क्रिप्ट-आधारित डाउनट्रॉय लॉन्च करता है।
कॉस्मिकडोर - सी++ लोडर (गिलीइंजेक्टर) एक निम बैकडोर इंजेक्ट करता है; विनाशकारी फ़ाइल वाइपिंग में सक्षम; साइलेंटसाइफन डाउनलोड करता है।
रूट्रॉय - निमकोर लोडर डिवाइस की जांच और मैलवेयर निष्पादन के लिए गो बैकडोर को इंजेक्ट करता है।
RealTimeTroy - निमकोर लोडर गो बैकडोर को इंजेक्ट करता है; फ़ाइल और सिस्टम नियंत्रण के लिए WSS प्रोटोकॉल के माध्यम से संचार करता है।
स्नीकमेन - अतिरिक्त एप्पलस्क्रिप्ट कमांड चलाने के लिए निमकोर लोडर के माध्यम से निष्पादित निम पेलोड।
डाउनट्रॉय v2 - कोरकिटएजेंट ड्रॉपर अतिरिक्त स्क्रिप्ट प्राप्त करने के लिए एप्पलस्क्रिप्ट-आधारित डाउनट्रॉय (निमडूर) लॉन्च करता है।
SysPhon - RustBucket वंश से C++ डाउनलोडर; टोही और बाइनरी पुनर्प्राप्ति के लिए उपयोग किया जाता है।
इसके अतिरिक्त, साइलेंटसाइफन निम्नलिखित से संवेदनशील डेटा एकत्रित करता है:
- एप्पल नोट्स, टेलीग्राम, वेब ब्राउज़र एक्सटेंशन, पासवर्ड मैनेजर
- डेवलपर और क्लाउड प्लेटफ़ॉर्म: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
- ब्लॉकचेन प्लेटफ़ॉर्म: सुई, सोलाना, NEAR, Aptos, Algorand
- सिस्टम टूल्स: Docker, Kubernetes, OpenAI
मनगढ़ंत बैठकों के माध्यम से टोही
फर्जी मीटिंग्स के वीडियो फ़ीड हमलावरों द्वारा रिकॉर्ड किए गए थे, जबकि प्रतिभागियों की प्रोफ़ाइल तस्वीरें लिंक्डइन, क्रंचबेस या एक्स (ट्विटर) जैसे पेशेवर नेटवर्क से ली गई थीं। कुछ तस्वीरों को GPT-4o का इस्तेमाल करके बेहतर बनाया गया था, जिससे सोशल इंजीनियरिंग की इस चाल में यथार्थवाद की एक परत जुड़ गई।
घोस्टकॉल, वेब3 और वेंचर कैपिटल के अधिकारियों को निशाना बनाने वाले साइबर खतरों के विकास का एक उदाहरण है, जिसमें उन्नत सोशल इंजीनियरिंग, क्रॉस-प्लेटफ़ॉर्म मैलवेयर और परिष्कृत डेटा हार्वेस्टिंग तकनीकों का संयोजन शामिल है। उत्तर कोरिया से जुड़े इन अभियानों का मुकाबला करने के लिए सतर्कता और बहुस्तरीय सुरक्षा उपाय बेहद ज़रूरी हैं।
