Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware GhostCall Malware Campagne

GhostCall Malware Campagne

Tegen Mezo in Malware
Vertalen naar:

Cybersecurityonderzoekers hebben een geavanceerde campagne ontdekt die gericht is op de Web3- en blockchainsectoren, bekend als GhostCall. De operatie maakt deel uit van een breder initiatief met banden met Noord-Korea, genaamd SnatchCrypto, dat al sinds minstens 2017 actief is. De dreiging wordt toegeschreven aan BlueNoroff, een subcluster van de Lazarus Group, ook bekend onder verschillende aliassen, waaronder APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet en Stardust Chollima.

Slachtoffers van de campagne zijn geïdentificeerd op meerdere macOS-hosts in Japan, Italië, Frankrijk, Singapore, Turkije, Spanje, Zweden, India en Hong Kong.

Geavanceerde social engineering- en phishingtechnieken

GhostCall richt zich sterk op macOS-apparaten van leidinggevenden van techbedrijven en durfkapitaalbedrijven. Aanvallers nemen rechtstreeks contact op met doelwitten via platforms zoals Telegram en nodigen hen uit voor investeringsgerelateerde vergaderingen die worden gehost op Zoom-achtige phishingwebsites.

Belangrijkste aspecten van de aanval:

  • Slachtoffers sluiten zich aan bij nepoproepen met echte opnames van andere slachtoffers in plaats van deepfakes.
  • Tijdens het gesprek worden gebruikers via een schadelijk script gevraagd Zoom of Teams te 'updaten'.
  • Het script downloadt ZIP-bestanden die infectieketens in meerdere fasen op de host initiëren.

De campagne is actief sinds medio 2023, waarschijnlijk na de RustBucket-campagne, die de strategische overstap van de groep naar aanvallen gericht op macOS markeerde. Latere malwarefamilies die zijn ingezet, zijn onder andere KANDYKORN, ObjCShellz en TodoSwift.

Misleidende nep Zoom- en Teams-pagina’s

Doelwitten die op de phishingpagina's van GhostCall terechtkomen, zien aanvankelijk een illusie van een live gesprek, wat kort daarna een foutmelding activeert. In de foutmelding wordt gebruikers gevraagd een Zoom of Teams Software Development Kit (SDK) te downloaden om het gesprek voort te zetten.

  • Als u op macOS op 'Nu bijwerken' klikt, wordt er een schadelijk AppleScript gedownload.
  • Op Windows gebruiken aanvallers de ClickFix-techniek om een PowerShell-opdracht uit te voeren.
  • Elke interactie met de nepwebsite wordt geregistreerd, waardoor aanvallers het gedrag van hun slachtoffers kunnen volgen.

De campagne is inmiddels uitgebreid van Zoom naar Microsoft Teams, waarbij gebruik wordt gemaakt van TeamsFx SDK-downloads om de infectieketen voort te zetten.

Malware en infectieketens

Ongeacht het platform installeert AppleScript nep Zoom- of Teams-apps en downloadt DownTroy, dat wachtwoorden van wachtwoordmanagers verzamelt en extra malware met rootrechten installeert. GhostCall maakt gebruik van acht verschillende aanvalsketens, waaronder:

ZoomClutch / TeamsClutch – Swift-gebaseerd implantaat dat zich voordoet als Zoom of Teams; vraagt om systeemwachtwoorden voor exfiltratie.

DownTroy v1 – Go-gebaseerde dropper lanceert AppleScript-gebaseerde DownTroy om extra scripts te downloaden tot opnieuw opstarten.

CosmicDoor – C++ loader (GillyInjector) injecteert een Nim backdoor; kan bestanden op destructieve wijze wissen; downloadt SilentSiphon.

RooTroy – Nimcore-loader injecteert Go-backdoor voor apparaatverkenning en uitvoering van malware.

RealTimeTroy – Nimcore loader injecteert Go backdoor; communiceert via het WSS-protocol voor bestands- en systeembeheer.

SneakMain – Nim-payload uitgevoerd via Nimcore-loader om extra AppleScript-opdrachten uit te voeren.

DownTroy v2 – CoreKitAgent dropper lanceert AppleScript-gebaseerde DownTroy (NimDoor) om extra scripts op te halen.

SysPhon – C++-downloader van de RustBucket-lijn; gebruikt voor verkenning en binair ophalen.

Daarnaast verzamelt SilentSiphon gevoelige gegevens van:

  • Apple Notes, Telegram, extensies voor webbrowsers, wachtwoordbeheerders
  • Ontwikkelaars- en cloudplatforms: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Blockchain-platforms: Sui, Solana, NEAR, Aptos, Algorand
  • Systeemtools: Docker, Kubernetes, OpenAI

Verkenning via gefabriceerde bijeenkomsten

De videofeeds van nepvergaderingen werden opgenomen door aanvallers, terwijl profielfoto's van deelnemers afkomstig waren van professionele netwerken zoals LinkedIn, Crunchbase of X (Twitter). Sommige afbeeldingen werden verbeterd met GPT-4o, wat de social engineering-truc een extra realistisch tintje gaf.

GhostCall is een voorbeeld van de evolutie van cyberdreigingen die zich richten op leidinggevenden in Web3 en durfkapitaal, en combineert geavanceerde social engineering, platformonafhankelijke malware en geavanceerde technieken voor dataverzameling. Waakzaamheid en een gelaagde verdediging zijn cruciaal om deze aan Noord-Korea gelinkte campagnes tegen te gaan.

Trending

Meest bekeken

Bezig met laden...