घोस्टकल मालवेयर अभियान
साइबर सुरक्षा अनुसन्धानकर्ताहरूले Web3 र ब्लकचेन क्षेत्रहरूलाई लक्षित गर्ने एक परिष्कृत अभियान पत्ता लगाएका छन्, जसलाई GhostCall भनेर ट्र्याक गरिएको छ। यो अपरेशन कम्तिमा २०१७ देखि सक्रिय रहेको SnatchCrypto भनिने बृहत् उत्तर कोरिया-सम्बन्धित पहलको एक हिस्सा हो। यो खतरा Lazarus Group sub-cluster BlueNoroff लाई जिम्मेवार ठहराइएको छ, जसलाई APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet, र Stardust Chollima जस्ता धेरै उपनामहरूले पनि चिनिन्छ।
जापान, इटाली, फ्रान्स, सिंगापुर, टर्की, स्पेन, स्वीडेन, भारत र हङकङका धेरै macOS होस्टहरूमा अभियानका पीडितहरूको पहिचान गरिएको छ।
सामग्रीको तालिका
परिष्कृत सामाजिक इन्जिनियरिङ र फिसिङ प्रविधिहरू
घोस्टकलले प्राविधिक कम्पनीहरू र भेन्चर क्यापिटल फर्महरूमा कार्यकारीहरूको macOS उपकरणहरूमा धेरै ध्यान केन्द्रित गर्दछ। आक्रमणकारीहरूले टेलिग्राम जस्ता प्लेटफर्महरू मार्फत लक्षितहरूलाई सिधै सम्पर्क गर्छन्, उनीहरूलाई जुम-जस्तो फिसिङ वेबसाइटहरूमा आयोजित लगानी-सम्बन्धित बैठकहरूमा आमन्त्रित गर्छन्।
आक्रमणका मुख्य पक्षहरू:
- पीडितहरू डीपफेकको सट्टा अन्य पीडितहरूको वास्तविक रेकर्डिङहरू भएको नक्कली कलहरूमा सामेल हुन्छन्।
- कलको क्रममा, प्रयोगकर्ताहरूलाई दुर्भावनापूर्ण स्क्रिप्ट मार्फत Zoom वा Teams लाई 'अपडेट' गर्न प्रेरित गरिन्छ।
- स्क्रिप्टले होस्टमा बहु-चरण संक्रमण श्रृंखलाहरू सुरु गर्ने ZIP फाइलहरू डाउनलोड गर्दछ।
यो अभियान २०२३ को मध्यदेखि सक्रिय छ, सम्भवतः RustBucket अभियान पछि, जसले macOS-केन्द्रित आक्रमणहरूमा समूहको रणनीतिक धुरीलाई चिन्ह लगायो। त्यसपछि तैनाथ गरिएका मालवेयर परिवारहरूमा KANDYKORN, ObjCShellz, र TodoSwift समावेश छन्।
भ्रामक नक्कली जुम र टोली पृष्ठहरू
घोस्टकल फिसिङ पृष्ठहरूमा अवतरण गर्ने लक्षित व्यक्तिहरूले सुरुमा लाइभ कलको भ्रम देख्छन्, जसले केही समयमै त्रुटि सन्देश ट्रिगर गर्दछ। सन्देशले प्रयोगकर्ताहरूलाई कल जारी राख्न जुम वा टिम्स सफ्टवेयर डेभलपमेन्ट किट (SDK) डाउनलोड गर्न प्रेरित गर्दछ।
- macOS मा, 'अहिले अपडेट गर्नुहोस्' मा क्लिक गर्दा दुर्भावनापूर्ण AppleScript डाउनलोड हुन्छ।
- विन्डोजमा, आक्रमणकारीहरूले PowerShell आदेश कार्यान्वयन गर्न ClickFix प्रविधि प्रयोग गर्छन्।
- नक्कली साइटसँगको हरेक अन्तरक्रिया ट्र्याक गरिन्छ, जसले गर्दा आक्रमणकारीहरूले पीडितको व्यवहार निगरानी गर्न सक्छन्।
यो अभियान जुमबाट माइक्रोसफ्ट टिम्समा विस्तार भएको छ, संक्रमण शृङ्खला जारी राख्न TeamsFx SDK डाउनलोडहरू प्रयोग गर्दै।
मालवेयर र संक्रमण शृङ्खलाहरू
प्लेटफर्म जुनसुकै भए पनि, एप्पलस्क्रिप्टले नकली जुम वा टिम्स एपहरू स्थापना गर्दछ र डाउनट्रोय डाउनलोड गर्दछ, जसले पासवर्ड प्रबन्धकहरूबाट पासवर्डहरू सङ्कलन गर्दछ र रूट विशेषाधिकारहरू सहित थप मालवेयर स्थापना गर्दछ। घोस्टकलले आठ फरक आक्रमण श्रृंखलाहरू प्रयोग गर्दछ, जसमा समावेश छन्:
ZoomClutch / TeamsClutch - स्विफ्ट-आधारित इम्प्लान्टले Zoom वा Teams को रूपमा लुकाउँछ; एक्सफिल्ट्रेसनको लागि प्रणाली पासवर्डहरू प्रम्प्ट गर्दछ।
डाउनट्रय v1 - गो-आधारित ड्रपरले रिबुट नभएसम्म थप स्क्रिप्टहरू डाउनलोड गर्न एप्पलस्क्रिप्ट-आधारित डाउनट्रय लन्च गर्दछ।
CosmicDoor - C++ लोडर (GillyInjector) ले निम ब्याकडोर इन्जेक्ट गर्छ; विनाशकारी फाइल वाइप गर्न सक्षम; SilentSiphon डाउनलोड गर्छ।
रुट्रोय - निमकोर लोडरले उपकरणको खोजी र मालवेयर कार्यान्वयनको लागि गो ब्याकडोर इन्जेक्ट गर्छ।
RealTimeTroy - निमकोर लोडरले गो ब्याकडोर इन्जेक्ट गर्छ; फाइल र प्रणाली नियन्त्रणको लागि WSS प्रोटोकल मार्फत सञ्चार गर्छ।
SneakMain - थप AppleScript आदेशहरू चलाउन निमकोर लोडर मार्फत निम पेलोड कार्यान्वयन गरिन्छ।
डाउनट्रय v2 - कोरकिटएजेन्ट ड्रपरले थप स्क्रिप्टहरू पुन: प्राप्त गर्न एप्पलस्क्रिप्ट-आधारित डाउनट्रय (निमडुर) लन्च गर्दछ।
SysPhon - RustBucket वंशबाट C++ डाउनलोडर; जासूसी र बाइनरी पुन: प्राप्तिको लागि प्रयोग गरिन्छ।
थप रूपमा, साइलेन्टसाइफनले निम्नबाट संवेदनशील डेटा सङ्कलन गर्दछ:
- एप्पल नोट्स, टेलिग्राम, वेब ब्राउजर एक्सटेन्सन, पासवर्ड प्रबन्धकहरू
- विकासकर्ता र क्लाउड प्लेटफर्महरू: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
- Blockchain प्लेटफार्महरू: Sui, Solana, NEAR, Aptos, Algorand
- प्रणाली उपकरणहरू: डकर, कुबर्नेट्स, ओपनएआई
बनावटी बैठकहरू मार्फत छानबिन
नक्कली बैठकहरूमा भिडियो फिडहरू आक्रमणकारीहरूले रेकर्ड गरेका थिए, जबकि सहभागीहरूको प्रोफाइल छविहरू LinkedIn, Crunchbase, वा X (Twitter) जस्ता व्यावसायिक नेटवर्कहरूबाट लिइएका थिए। केही छविहरू GPT-4o प्रयोग गरेर बढाइएको थियो, जसले सामाजिक इन्जिनियरिङ चालमा यथार्थवादको तह थपेको थियो।
GhostCall ले Web3 र भेन्चर क्यापिटलमा कार्यकारीहरूलाई लक्षित गर्ने साइबर खतराहरूको विकासको उदाहरण दिन्छ, उन्नत सामाजिक इन्जिनियरिङ, क्रस-प्लेटफर्म मालवेयर, र परिष्कृत डेटा संकलन प्रविधिहरूको संयोजन गर्दै। यी उत्तर कोरिया-सम्बन्धित अभियानहरूको सामना गर्न सतर्कता र बहु-स्तरीय प्रतिरक्षा महत्त्वपूर्ण छन्।
