Ponuda s popustom na više licenci
Baza prijetnji Malware Kampanja zlonamjernog softvera GhostCall

Kampanja zlonamjernog softvera GhostCall

Do Mezo. Malware. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su sofisticiranu kampanju usmjerenu na Web3 i blockchain sektore, praćenu kao GhostCall. Operacija je dio šire inicijative povezane sa Sjevernom Korejom pod nazivom SnatchCrypto, aktivne najmanje od 2017. Prijetnja se pripisuje podklasteru Lazarus Group, BlueNoroff, poznatom i pod više pseudonima, uključujući APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet i Stardust Chollima.

Žrtve kampanje identificirane su na više macOS hostova u Japanu, Italiji, Francuskoj, Singapuru, Turskoj, Španjolskoj, Švedskoj, Indiji i Hong Kongu.

Sofisticirane tehnike društvenog inženjeringa i phishinga

GhostCall se uvelike fokusira na macOS uređaje rukovoditelja u tehnološkim tvrtkama i tvrtkama rizičnog kapitala. Napadači izravno kontaktiraju mete putem platformi poput Telegrama, pozivajući ih na sastanke vezane uz ulaganja koji se održavaju na phishing web stranicama sličnim Zoomu.

Ključni aspekti napada:

  • Žrtve se pridružuju lažnim pozivima koji sadrže autentične snimke drugih žrtava umjesto deepfakeova.
  • Tijekom poziva, korisnici se putem zlonamjernog skripta pozivaju da 'ažuriraju' Zoom ili Teams.
  • Skripta preuzima ZIP datoteke koje pokreću višefazne lance infekcije na hostu.

Kampanja je aktivna od sredine 2023., vjerojatno nakon kampanje RustBucket, koja je označila strateški zaokret grupe prema napadima usmjerenim na macOS. Naknadno implementirane obitelji zlonamjernog softvera uključuju KANDYKORN, ObjCShellz i TodoSwift.

Obmanjujuće lažne Zoom i Teams stranice

Mete koje posjete phishing stranice GhostCall-a isprva vide iluziju poziva uživo, što ubrzo pokreće poruku o pogrešci. Poruka potiče korisnike da preuzmu Zoom ili Teams Software Development Kit (SDK) kako bi nastavili poziv.

  • Na macOS-u, klikom na 'Ažuriraj sada' preuzima se zlonamjerni AppleScript.
  • U sustavu Windows, napadači koriste tehniku ClickFix za izvršavanje PowerShell naredbe.
  • Prati se svaka interakcija s lažnom stranicom, što napadačima omogućuje praćenje ponašanja žrtve.

Kampanja se od tada proširila sa Zooma na Microsoft Teams, koristeći preuzimanja TeamsFx SDK-a za nastavak lanca zaraze.

Zlonamjerni softver i lanci infekcije

Bez obzira na platformu, AppleScript instalira lažne Zoom ili Teams aplikacije i preuzima DownTroy, koji prikuplja lozinke iz upravitelja lozinki i instalira dodatni zlonamjerni softver s root privilegijama. GhostCall koristi osam različitih lanaca napada, uključujući:

ZoomClutch / TeamsClutch – Implant temeljen na Swiftu koji se maskira kao Zoom ili Teams; traži sistemske lozinke za eksfiltraciju.

DownTroy v1 – Dropper temeljen na Gou pokreće DownTroy temeljen na AppleScriptu za preuzimanje dodatnih skripti do ponovnog pokretanja.

CosmicDoor – C++ loader (GillyInjector) ubrizgava Nim backdoor; sposoban za destruktivno brisanje datoteka; preuzima SilentSiphon.

RooTroy – Nimcore loader ubrizgava Go backdoor za izviđanje uređaja i izvršavanje zlonamjernog softvera.

RealTimeTroy – Nimcore loader ubrizgava Go backdoor; komunicira putem WSS protokola za kontrolu datoteka i sustava.

SneakMain – Nimov teret izvršava se putem Nimcore loadera za pokretanje dodatnih AppleScript naredbi.

DownTroy v2 – CoreKitAgent dropper pokreće DownTroy (NimDoor) temeljen na AppleScriptu kako bi dohvatio dodatne skripte.

SysPhon – C++ program za preuzimanje iz RustBucket loze; koristi se za izviđanje i dohvaćanje binarnih datoteka.

Osim toga, SilentSiphon prikuplja osjetljive podatke iz:

  • Apple Notes, Telegram, proširenja web preglednika, upravitelji lozinki
  • Platforme za razvojne programere i cloud platforme: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Blockchain platforme: Sui, Solana, NEAR, Aptos, Algorand
  • Sistemski alati: Docker, Kubernetes, OpenAI

Izviđanje putem namještenih sastanaka

Videozapise na lažnim sastancima snimali su napadači, dok su profilne slike sudionika preuzete s profesionalnih mreža poput LinkedIna, Crunchbasea ili X-a (Twittera). Neke su slike poboljšane pomoću GPT-4o, dodajući sloj realizma triku društvenog inženjeringa.

GhostCall primjer je evolucije kibernetičkih prijetnji usmjerenih na rukovoditelje u Web3 i rizičnom kapitalu, kombinirajući napredni društveni inženjering, zlonamjerni softver na više platformi i sofisticirane tehnike prikupljanja podataka. Budnost i višeslojna obrana ključne su za suprotstavljanje ovim kampanjama povezanim sa Sjevernom Korejom.

U trendu

Nagledanije

Učitavam...