Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Kempen Hasad GhostCall

Kempen Hasad GhostCall

Menjelang Mezo pada perisian hasad
Terjemahkan ke

Penyelidik keselamatan siber telah menemui kempen canggih yang menyasarkan sektor Web3 dan blockchain, yang dijejaki sebagai GhostCall. Operasi itu adalah sebahagian daripada inisiatif berkaitan Korea Utara yang lebih luas yang dipanggil SnatchCrypto, aktif sejak sekurang-kurangnya 2017. Ancaman itu dikaitkan dengan subkelompok Lazarus Group BlueNoroff, yang juga dikenali dengan pelbagai alias termasuk APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet Chollima dan Stardust.

Mangsa kempen telah dikenal pasti merentas berbilang hos macOS di Jepun, Itali, Perancis, Singapura, Turki, Sepanyol, Sweden, India dan Hong Kong.

Teknik Kejuruteraan Sosial dan Phishing yang Canggih

GhostCall banyak menumpukan pada peranti macOS eksekutif dalam syarikat teknologi dan firma modal teroka. Penyerang terus menghubungi sasaran melalui platform seperti Telegram, menjemput mereka ke mesyuarat berkaitan pelaburan yang dihoskan di tapak web pancingan data seperti Zoom.

Aspek utama serangan:

  • Mangsa menyertai panggilan palsu yang mengandungi rakaman tulen mangsa lain dan bukannya deepfake.
  • Semasa panggilan, pengguna digesa untuk 'mengemas kini' Zoom atau Pasukan melalui skrip berniat jahat.
  • Skrip memuat turun fail ZIP yang memulakan rantaian jangkitan berbilang peringkat pada hos.

Kempen ini telah aktif sejak pertengahan 2023, mungkin berikutan kempen RustBucket, yang menandakan pangsi strategik kumpulan kepada serangan tertumpu macOS. Keluarga perisian hasad berikutnya yang digunakan termasuk KANDYKORN, ObjCShellz dan TodoSwift.

Zum Palsu dan Halaman Pasukan yang Menipu

Sasaran mendarat di halaman pancingan data GhostCall pada mulanya melihat ilusi panggilan langsung, yang mencetuskan mesej ralat sebentar lagi. Mesej tersebut menggesa pengguna memuat turun Kit Pembangunan Perisian (SDK) Zoom atau Teams untuk meneruskan panggilan.

  • Pada macOS, mengklik 'Kemas Kini Sekarang' memuat turun AppleScript yang berniat jahat.
  • Pada Windows, penyerang menggunakan teknik ClickFix untuk melaksanakan perintah PowerShell.
  • Setiap interaksi dengan tapak palsu dijejaki, membolehkan penyerang memantau tingkah laku mangsa.

Kempen itu telah berkembang daripada Zoom kepada Microsoft Teams, menggunakan muat turun SDK TeamsFx untuk meneruskan rantaian jangkitan.

Rantaian Hasad dan Jangkitan

Tanpa mengira platform, AppleScript memasang aplikasi Zoom atau Teams palsu dan memuat turun DownTroy, yang menuai kata laluan daripada pengurus kata laluan dan memasang perisian hasad tambahan dengan keistimewaan root. GhostCall memanfaatkan lapan rantaian serangan yang berbeza, termasuk:

ZoomClutch / TeamsClutch – Implan berasaskan Swift menyamar sebagai Zoom atau Teams; menggesa kata laluan sistem untuk exfiltration.

DownTroy v1 – Penitis berasaskan Go melancarkan DownTroy berasaskan AppleScript untuk memuat turun skrip tambahan sehingga but semula.

CosmicDoor – Pemuat C++ (GillyInjector) menyuntik pintu belakang Nim; mampu mengelap fail yang merosakkan; muat turun SilentSiphon.

RooTroy – Pemuat Nimcore menyuntik Go backdoor untuk peninjauan peranti dan pelaksanaan perisian hasad.

RealTimeTroy – Pemuat Nimcore menyuntik Go backdoor; berkomunikasi melalui protokol WSS untuk kawalan fail dan sistem.

SneakMain – Muatan Nim dilaksanakan melalui pemuat Nimcore untuk menjalankan perintah AppleScript tambahan.

DownTroy v2 – Penitis CoreKitAgent melancarkan DownTroy (NimDoor) berasaskan AppleScript untuk mendapatkan skrip tambahan.

SysPhon – pemuat turun C++ daripada keturunan RustBucket; digunakan untuk peninjauan dan mendapatkan semula binari.

Selain itu, SilentSiphon menuai data sensitif daripada:

  • Nota Apple, Telegram, sambungan pelayar web, pengurus kata laluan
  • Pembangun dan platform awan: GitHub, GitLab, Bitbucket, npm, Benang, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleshiCor, Pulumio
  • Platform rantaian sekat: Sui, Solana, NEAR, Aptos, Algorand
  • Alat sistem: Docker, Kubernetes, OpenAI

Peninjauan melalui Mesyuarat Rekaan

Suapan video dalam mesyuarat palsu telah dirakam oleh penyerang, manakala imej profil peserta diperoleh daripada rangkaian profesional seperti LinkedIn, Crunchbase atau X (Twitter). Beberapa imej telah dipertingkatkan menggunakan GPT-4o, menambah lapisan realisme kepada muslihat kejuruteraan sosial.

GhostCall mencontohkan evolusi ancaman siber yang menyasarkan eksekutif dalam Web3 dan modal teroka, menggabungkan kejuruteraan sosial termaju, perisian hasad merentas platform dan teknik penuaian data yang canggih. Kewaspadaan dan pertahanan pelbagai lapisan adalah penting untuk menentang kempen berkaitan Korea Utara ini.

Trending

Paling banyak dilihat

Memuatkan...