Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra GhostCall ļaunprogrammatūras kampaņa

GhostCall ļaunprogrammatūras kampaņa

Līdz Mezo. gadam Ļaunprātīga programmatūra. gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši sarežģītu kampaņu, kas vērsta pret Web3 un blokķēdes sektoriem un tiek izsekota kā GhostCall. Operācija ir daļa no plašākas ar Ziemeļkoreju saistītas iniciatīvas SnatchCrypto, kas darbojas vismaz kopš 2017. gada. Apdraudējums tiek attiecināts uz Lazarus Group apakšklasteri BlueNoroff, kas pazīstams arī ar vairākiem pseidonīmiem, tostarp APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet un Stardust Chollima.

Kampaņas upuri ir identificēti vairākās macOS mitināšanas platformās Japānā, Itālijā, Francijā, Singapūrā, Turcijā, Spānijā, Zviedrijā, Indijā un Honkongā.

Sarežģītas sociālās inženierijas un pikšķerēšanas metodes

GhostCall galveno uzmanību pievērš tehnoloģiju uzņēmumu un riska kapitāla firmu vadītāju macOS ierīcēm. Uzbrucēji tieši sazinās ar mērķiem, izmantojot tādas platformas kā Telegram, aicinot viņus uz investīcijām saistītām sanāksmēm, kas tiek rīkotas Zoom līdzīgās pikšķerēšanas vietnēs.

Uzbrukuma galvenie aspekti:

  • Upuri pievienojas viltus zvaniem, kuros ir īsti citu upuru ieraksti, nevis dziļviltojumi.
  • Zvana laikā lietotājiem tiek piedāvāts “atjaunināt” Zoom vai Teams, izmantojot ļaunprātīgu skriptu.
  • Skripts lejupielādē ZIP failus, kas resursdatorā ierosina daudzpakāpju inficēšanās ķēdes.

Kampaņa ir aktīva kopš 2023. gada vidus, visticamāk, pēc RustBucket kampaņas, kas iezīmēja grupas stratēģisko pagriezienu uz macOS vērstiem uzbrukumiem. Vēlāk izvietoto ļaunprogrammatūru saimju vidū ir KANDYKORN, ObjCShellz un TodoSwift.

Maldinošas, viltotas Zoom un Teams lapas

Mērķi, kas nonāk GhostCall pikšķerēšanas lapās, sākotnēji redz tiešraides zvana ilūziju, kas īslaicīgi aktivizē kļūdas ziņojumu. Ziņojumā lietotāji tiek aicināti lejupielādēt Zoom vai Teams programmatūras izstrādes komplektu (SDK), lai turpinātu zvanu.

  • macOS sistēmā, noklikšķinot uz “Atjaunināt tūlīt”, tiek lejupielādēts ļaunprātīgs AppleScript fails.
  • Operētājsistēmā Windows uzbrucēji izmanto ClickFix tehniku , lai izpildītu PowerShell komandu.
  • Katra mijiedarbība ar viltoto vietni tiek izsekota, ļaujot uzbrucējiem uzraudzīt upura uzvedību.

Kopš tā laika kampaņa ir paplašinājusies no Zoom uz Microsoft Teams, izmantojot TeamsFx SDK lejupielādes, lai turpinātu inficēšanās ķēdi.

Ļaunprogrammatūra un infekcijas ķēdes

Neatkarīgi no platformas AppleScript instalē viltotas Zoom vai Teams lietotnes un lejupielādē DownTroy, kas ievāc paroles no paroļu pārvaldniekiem un instalē papildu ļaunprogrammatūru ar root privilēģijām. GhostCall izmanto astoņas atšķirīgas uzbrukumu ķēdes, tostarp:

ZoomClutch/TeamsClutch — Swift bāzes implants, kas maskējas kā Zoom vai Teams; izfiltrācijai tiek pieprasītas sistēmas paroles.

DownTroy v1 — uz Go balstīts pilinātājs palaiž uz AppleScript balstītu DownTroy, lai lejupielādētu papildu skriptus līdz pārstartēšanai.

CosmicDoor – C++ ielādētājs (GillyInjector) ievieto Nim aizmugurējo durvju kodu; spēj veikt destruktīvu failu dzēšanu; lejupielādē SilentSiphon.

RooTroy — Nimcore ielādētājs ievada Go aizmugurējās durvis ierīču izlūkošanai un ļaunprogrammatūras izpildei.

RealTimeTroy — Nimcore ielādētājs ievada Go aizmugurējās durvis; sazinās, izmantojot WSS protokolu, lai kontrolētu failus un sistēmu.

SneakMain – Nim lietderīgā slodze, kas tiek izpildīta, izmantojot Nimcore ielādētāju, lai palaistu papildu AppleScript komandas.

DownTroy v2 — CoreKitAgent dropper palaiž uz AppleScript balstītu DownTroy (NimDoor), lai izgūtu papildu skriptus.

SysPhon – C++ lejupielādētājs no RustBucket līnijas; tiek izmantots izlūkošanai un bināro failu izguvei.

Turklāt SilentSiphon apkopo sensitīvus datus no:

  • Apple Notes, Telegram, tīmekļa pārlūkprogrammas paplašinājumi, paroļu pārvaldnieki
  • Izstrādātāju un mākoņplatformas: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Blockchain platformas: Sui, Solana, NEAR, Aptos, Algorand
  • Sistēmas rīki: Docker, Kubernetes, OpenAI

Izlūkošana, izmantojot safabricētas sanāksmes

Viltus sanāksmju videoierakstus ierakstīja uzbrucēji, savukārt dalībnieku profila attēli tika iegūti no profesionāliem tīkliem, piemēram, LinkedIn, Crunchbase vai X (Twitter). Daži attēli tika uzlaboti, izmantojot GPT-4o, piešķirot sociālās inženierijas viltībai reālisma slāni.

GhostCall ilustrē kiberdraudu evolūciju, kas vērstas pret Web3 un riska kapitāla vadītājiem, apvienojot progresīvu sociālo inženieriju, starpplatformu ļaunprogrammatūru un sarežģītas datu ieguves metodes. Modrība un daudzslāņu aizsardzība ir kritiski svarīgas, lai cīnītos pret šīm ar Ziemeļkoreju saistītajām kampaņām.

Tendences

DHL Express sūtījumu nepareizas atrašanās vietas...

Pikšķerēšana, Mēstules
Kiberdrošības pētnieki ir brīdinājuši par maldinošu pikšķerēšanas kampaņu, kas pazīstama kā DHL Express sūtījumu nepareizas atrašanās vietas krāpniecība. Šīs krāpnieciskās e-pasta vēstules ir maskētas kā oficiāli piegādes paziņojumi, ko it kā sūta DHL. Ziņojumos parasti tiek apgalvots, ka saņēmējam ir jāpārbauda sava adrese vai jāapstiprina piegāde, lai novērstu sūtījuma nepareizu atrašanās...

LinkPro Linux sakņu komplekts

Sakņu komplekti, Aizmugures durvis
Nesenā Amazon Web Services (AWS) vides kompromitācijā tika atklāts iepriekš nedokumentēts GNU/Linux sakņu komplekts, kas izsekots kā LinkPro. Šīs aizmugurējās durvis ir ievērojamas ar eBPF moduļu divējādu izmantošanu: viens komplekts artefaktu slēpšanai un otrs, kas darbojas kā slepens aktivizētājs — “klauvējums”, kas aktivizē attālo komandu funkcionalitāti tikai pēc tam, kad tiek pamanīts...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
32,985
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...