„GhostCall“ kenkėjiškų programų kampanija
Kibernetinio saugumo tyrėjai atskleidė sudėtingą kampaniją, vadinamą „GhostCall“, nukreiptą prieš „Web3“ ir blokų grandinės sektorius. Ši operacija yra platesnės su Šiaurės Korėja susijusios iniciatyvos „SnatchCrypto“, veikiančios mažiausiai nuo 2017 m., dalis. Grėsmė priskiriama „Lazarus Group“ subklasteriui „BlueNoroff“, taip pat žinomam keliais slapyvardžiais, įskaitant APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet ir Stardust Chollima.
Kampanijos aukos buvo identifikuotos keliose „macOS“ platformose Japonijoje, Italijoje, Prancūzijoje, Singapūre, Turkijoje, Ispanijoje, Švedijoje, Indijoje ir Honkonge.
Turinys
Sudėtingos socialinės inžinerijos ir sukčiavimo apsimetant metodai
„GhostCall“ daugiausia dėmesio skiria technologijų įmonių ir rizikos kapitalo įmonių vadovų „macOS“ įrenginiams. Užpuolikai tiesiogiai susisiekia su taikiniais per tokias platformas kaip „Telegram“, kviesdami juos į su investicijomis susijusius susitikimus, vykstančius „Zoom“ tipo sukčiavimo svetainėse.
Svarbiausi išpuolio aspektai:
- Aukos prisijungia prie netikrų skambučių, kuriuose rodomi tikri kitų aukų įrašai, o ne giluminės klastotės.
- Skambučio metu vartotojai raginami „atnaujinti“ „Zoom“ arba „Teams“ naudojant kenkėjišką scenarijų.
- Scenarijus atsisiunčia ZIP failus, kurie inicijuoja daugiapakopes užkrėtimo grandines pagrindiniame kompiuteryje.
Kampanija vykdoma nuo 2023 m. vidurio, greičiausiai po „RustBucket“ kampanijos, kuri žymėjo grupės strateginį posūkį į „macOS“ skirtas atakas. Vėliau buvo diegiamos kenkėjiškų programų šeimos: „KANDYKORN“, „ObjCShellz“ ir „TodoSwift“.
Apgaulingi netikri „Zoom“ ir „Teams“ puslapiai
„GhostCall“ sukčiavimo puslapiuose apsilankę taikiniai iš pradžių mato tiesioginio skambučio iliuziją, kuri netrukus suaktyvina klaidos pranešimą. Pranešime vartotojai raginami atsisiųsti „Zoom“ arba „Teams“ programinės įrangos kūrimo rinkinį (SDK), kad galėtų tęsti skambutį.
- „macOS“ sistemoje spustelėjus „Atnaujinti dabar“, atsisiunčiamas kenkėjiškas „AppleScript“ failas.
- „Windows“ sistemoje užpuolikai naudoja „ClickFix“ techniką , norėdami vykdyti „PowerShell“ komandą.
- Kiekviena sąveika su netikra svetaine yra stebima, todėl užpuolikai gali stebėti aukos elgesį.
Nuo to laiko kampanija išsiplėtė nuo „Zoom“ iki „Microsoft Teams“, naudojant „TeamsFx SDK“ atsisiuntimus užkrėtimo grandinei tęsti.
Kenkėjiškos programos ir užkrėtimo grandinės
Nepriklausomai nuo platformos, „AppleScript“ įdiegia netikras „Zoom“ arba „Teams“ programas ir atsisiunčia „DownTroy“, kuri renka slaptažodžius iš slaptažodžių tvarkyklių ir įdiegia papildomą kenkėjišką programą su root teisėmis. „GhostCall“ naudoja aštuonias skirtingas atakų grandines, įskaitant:
„ZoomClutch“ / „TeamsClutch“ – „Swift“ pagrindu veikiantis implantas, maskuojantis „Zoom“ arba „Teams“; norint išfiltruoti, prašoma sistemos slaptažodžių.
„DownTroy v1“ – „Go“ pagrindu veikianti lašintuvo programa paleidžia „AppleScript“ pagrindu veikiančią „DownTroy“, kad atsisiųstų papildomus scenarijus iki perkrovimo.
„CosmicDoor“ – C++ įkrovos programa („GillyInjector“) įterpia „Nim“ galines duris; gali atlikti destruktyvų failų valymą; atsisiunčia „SilentSiphon“.
„RooTroy“ – „Nimcore“ įkroviklis įterpia „Go backdoor“ įrenginio žvalgybai ir kenkėjiškų programų vykdymui.
„RealTimeTroy“ – „Nimcore“ įkroviklis įterpia „Go backdoor“; bendrauja per WSS protokolą, kad valdytų failus ir sistemą.
„SneakMain“ – „Nim“ naudingoji apkrova, vykdoma naudojant „Nimcore“ įkroviklį, kad būtų paleistos papildomos „AppleScript“ komandos.
„DownTroy v2“ – „CoreKitAgent“ lašintuvas paleidžia „AppleScript“ pagrindu sukurtą „DownTroy“ („NimDoor“), kad gautų papildomus scenarijus.
„SysPhon“ – C++ atsisiuntimo programa iš „RustBucket“ linijos; naudojama žvalgybai ir dvejetainių failų paieškai.
Be to, „SilentSiphon“ renka jautrius duomenis iš:
- „Apple Notes“, „Telegram“, žiniatinklio naršyklės plėtiniai, slaptažodžių tvarkyklės
- Kūrėjų ir debesijos platformos: „GitHub“, „GitLab“, „Bitbucket“, „npm“, „Yarn“, „Python pip“, „RubyGems“, „Rust cargo“, „NET Nuget“, AWS, „Google Cloud“, „Microsoft Azure“, „Oracle Cloud“, „Akamai“, „Linode“, „DigitalOcean“, „Vercel“, „Cloudflare“, „Netlify“, „Stripe“, „Firebase“, „Twilio“, „CircleCI“, „Pulumi“, „HashiCorp“.
- Blockchain platformos: Sui, Solana, NEAR, Aptos, Algorand
- Sistemos įrankiai: Docker, Kubernetes, OpenAI
Žvalgyba per sufabrikuotus susitikimus
Vaizdo transliacijas iš netikrų susitikimų įrašinėjo užpuolikai, o dalyvių profilių nuotraukos buvo gautos iš profesionalių tinklų, tokių kaip „LinkedIn“, „Crunchbase“ arba „X“ („Twitter“). Kai kurie vaizdai buvo patobulinti naudojant GPT-4o, suteikiant socialinės inžinerijos gudrybei realizmo.
„GhostCall“ yra kibernetinių grėsmių, nukreiptų prieš „Web3“ vadovus ir rizikos kapitalo įmones, evoliucijos pavyzdys, derinant pažangią socialinę inžineriją, kelių platformų kenkėjiškas programas ir sudėtingus duomenų rinkimo metodus. Budrumas ir daugiasluoksnė gynyba yra labai svarbūs siekiant kovoti su šiomis su Šiaurės Korėja susijusiomis kampanijomis.
