យុទ្ធនាការមេរោគ GhostCall
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការដ៏ស្មុគ្រស្មាញដែលផ្តោតលើផ្នែក Web3 និង blockchain ដែលត្រូវបានតាមដានជា GhostCall ។ ប្រតិបត្តិការនេះគឺជាផ្នែកមួយនៃគំនិតផ្តួចផ្តើមដែលភ្ជាប់ជាមួយកូរ៉េខាងជើងកាន់តែទូលំទូលាយដែលហៅថា SnatchCrypto ដែលសកម្មចាប់តាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2017 ។ ការគំរាមកំហែងនេះត្រូវបានកំណត់គុណលក្ខណៈក្រុមរង Lazarus Group BlueNoroff ដែលត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះក្លែងក្លាយជាច្រើនរួមមាន APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Starphistoll, និង។
ជនរងគ្រោះនៃយុទ្ធនាការនេះត្រូវបានគេកំណត់អត្តសញ្ញាណនៅលើម៉ាស៊ីន macOS ជាច្រើននៅក្នុងប្រទេសជប៉ុន អ៊ីតាលី បារាំង សិង្ហបុរី តួកគី អេស្ប៉ាញ ស៊ុយអែត ឥណ្ឌា និងហុងកុង។
តារាងមាតិកា
វិស្វកម្មសង្គមទំនើប និងបច្ចេកទេសបន្លំ
GhostCall ផ្តោតយ៉ាងខ្លាំងលើឧបករណ៍ macOS របស់នាយកប្រតិបត្តិនៅក្នុងក្រុមហ៊ុនបច្ចេកវិទ្យា និងក្រុមហ៊ុនបណ្តាក់ទុន។ អ្នកវាយប្រហារទាក់ទងគោលដៅដោយផ្ទាល់តាមរយៈវេទិកាដូចជា Telegram ដោយអញ្ជើញពួកគេឱ្យចូលរួមកិច្ចប្រជុំទាក់ទងនឹងការវិនិយោគដែលរៀបចំនៅលើគេហទំព័របន្លំដូច Zoom ។
ទិដ្ឋភាពសំខាន់ៗនៃការវាយប្រហារ៖
- ជនរងគ្រោះចូលរួមការហៅទូរស័ព្ទក្លែងក្លាយដែលមានការកត់ត្រាពិតប្រាកដរបស់ជនរងគ្រោះផ្សេងទៀតជំនួសឱ្យការក្លែងបន្លំជ្រៅ។
- ក្នុងអំឡុងពេលហៅទូរសព្ទ អ្នកប្រើប្រាស់ត្រូវបានជម្រុញឱ្យ 'អាប់ដេត' ពង្រីក ឬក្រុមតាមរយៈស្គ្រីបព្យាបាទ។
- ស្គ្រីបទាញយកឯកសារ ZIP ដែលចាប់ផ្តើមខ្សែសង្វាក់ឆ្លងមេរោគច្រើនដំណាក់កាលនៅលើម៉ាស៊ីន។
យុទ្ធនាការនេះមានសកម្មភាពតាំងពីពាក់កណ្តាលឆ្នាំ 2023 ដែលទំនងជាបន្ទាប់ពីយុទ្ធនាការ RustBucket ដែលបានសម្គាល់ចំណុចស្នូលយុទ្ធសាស្ត្ររបស់ក្រុមចំពោះការវាយប្រហារដែលផ្តោតលើ macOS ។ គ្រួសារមេរោគជាបន្តបន្ទាប់ដែលត្រូវបានដាក់ពង្រាយរួមមាន KANDYKORN, ObjCShellz និង TodoSwift ។
ការក្លែងបន្លំ Fake Zoom និងទំព័រក្រុម
គោលដៅដែលចុះចតនៅលើទំព័របន្លំ GhostCall ដំបូងនឹងឃើញការបំភាន់នៃការហៅទូរសព្ទផ្ទាល់ ដែលភ្លាមៗនោះនឹងបង្កឱ្យមានសារកំហុស។ សារជំរុញឱ្យអ្នកប្រើប្រាស់ទាញយក Zoom ឬ Teams Software Development Kit (SDK) ដើម្បីបន្តការហៅទូរសព្ទ។
- នៅលើ macOS ចុច 'Update Now' ទាញយក AppleScript ព្យាបាទ។
- នៅលើ Windows អ្នកវាយប្រហារប្រើ បច្ចេកទេស ClickFix ដើម្បីប្រតិបត្តិពាក្យបញ្ជា PowerShell ។
- រាល់អន្តរកម្មជាមួយគេហទំព័រក្លែងក្លាយត្រូវបានតាមដាន ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារតាមដានឥរិយាបថជនរងគ្រោះ។
ចាប់តាំងពីពេលនោះមក យុទ្ធនាការនេះបានពង្រីកពី Zoom ទៅ Microsoft Teams ដោយប្រើការទាញយក TeamsFx SDK ដើម្បីបន្តខ្សែសង្វាក់ឆ្លង។
មេរោគ និងខ្សែសង្វាក់ឆ្លង
ដោយមិនគិតពីវេទិកានោះ AppleScript ដំឡើងកម្មវិធី phony Zoom ឬ Teams ហើយទាញយក DownTroy ដែលប្រមូលពាក្យសម្ងាត់ពីអ្នកគ្រប់គ្រងពាក្យសម្ងាត់ និងដំឡើងមេរោគបន្ថែមជាមួយនឹងសិទ្ធិជា root ។ GhostCall ប្រើប្រាស់ខ្សែសង្វាក់វាយប្រហារចំនួនប្រាំបីផ្សេងគ្នា រួមមាន:
ZoomClutch / TeamsClutch - ការក្លែងបន្លំ implant ដែលមានមូលដ្ឋានលើរហ័សដូចជា Zoom ឬ Teams; ជម្រុញពាក្យសម្ងាត់ប្រព័ន្ធសម្រាប់ការបណ្តេញចេញ។
DownTroy v1 - ឧបករណ៍ទម្លាក់ចុះដែលមានមូលដ្ឋានលើ Go បើកដំណើរការ DownTroy ដែលមានមូលដ្ឋានលើ AppleScript ដើម្បីទាញយកស្គ្រីបបន្ថែមរហូតដល់ចាប់ផ្តើមឡើងវិញ។
CosmicDoor - កម្មវិធីផ្ទុក C ++ (GillyInjector) ចាក់ Nim backdoor; សមត្ថភាពក្នុងការលុបឯកសារបំផ្លិចបំផ្លាញ; ទាញយក SilentSiphon ។
RooTroy - កម្មវិធីផ្ទុក Nimcore ចាក់ Go backdoor សម្រាប់ការឈ្លបយកការណ៍ឧបករណ៍ និងការប្រតិបត្តិមេរោគ។
RealTimeTroy - កម្មវិធីផ្ទុក Nimcore ចាក់ចូលទៅក្នុងទ្វារខាងក្រោយ; ទំនាក់ទំនងតាមរយៈពិធីការ WSS សម្រាប់ការគ្រប់គ្រងឯកសារ និងប្រព័ន្ធ។
SneakMain - Nim payload ប្រតិបត្តិតាមរយៈ Nimcore loader ដើម្បីដំណើរការពាក្យបញ្ជា AppleScript បន្ថែម។
DownTroy v2 - ដំណក់ទឹក CoreKitAgent បើកដំណើរការកម្មវិធី DownTroy ដែលមានមូលដ្ឋានលើ AppleScript (NimDoor) ដើម្បីទាញយកស្គ្រីបបន្ថែម។
SysPhon - កម្មវិធីទាញយក C ++ ពីត្រកូល RustBucket; ប្រើសម្រាប់ការឈ្លបយកការណ៍ និងការទាញយកប្រព័ន្ធគោលពីរ។
លើសពីនេះ SilentSiphon ប្រមូលទិន្នន័យរសើបពី៖
- Apple Notes, Telegram, ផ្នែកបន្ថែមកម្មវិធីរុករកតាមអ៊ីនធឺណិត, អ្នកគ្រប់គ្រងពាក្យសម្ងាត់
- អ្នកអភិវឌ្ឍន៍ និងវេទិកាពពក៖ GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, TwCIrp, Firebase, Cripe
- វេទិកា Blockchain៖ Sui, Solana, NEAR, Aptos, Algorand
- ឧបករណ៍ប្រព័ន្ធ៖ Docker, Kubernetes, OpenAI
ការត្រួតពិនិត្យតាមរយៈការប្រជុំប្រឌិត
មតិព័ត៌មានវីដេអូនៅក្នុងការប្រជុំក្លែងក្លាយត្រូវបានថតដោយអ្នកវាយប្រហារ ខណៈដែលរូបភាពប្រវត្តិរូបរបស់អ្នកចូលរួមត្រូវបានប្រភពមកពីបណ្តាញអាជីពដូចជា LinkedIn, Crunchbase ឬ X (Twitter) ជាដើម។ រូបភាពមួយចំនួនត្រូវបានកែលម្អដោយប្រើ GPT-4o ដោយបន្ថែមស្រទាប់នៃភាពប្រាកដនិយមទៅ ruuse វិស្វកម្មសង្គម។
GhostCall បង្ហាញឧទាហរណ៍ពីការវិវត្តន៍នៃការគំរាមកំហែងតាមអ៊ីនធឺណិតដែលផ្តោតលើនាយកប្រតិបត្តិនៅក្នុង Web3 និងបណ្តាក់ទុនដោយរួមបញ្ចូលគ្នានូវវិស្វកម្មសង្គមកម្រិតខ្ពស់ មេរោគឆ្លងវេទិកា និងបច្ចេកទេសប្រមូលទិន្នន័យដ៏ទំនើប។ ការប្រុងប្រយ័ត្ន និងការការពារពហុស្រទាប់មានសារៈសំខាន់ណាស់ ដើម្បីទប់ទល់នឹងយុទ្ធនាការដែលពាក់ព័ន្ធកូរ៉េខាងជើងទាំងនេះ។
