ਗੋਸਟਕਾਲ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ Web3 ਅਤੇ ਬਲਾਕਚੈਨ ਸੈਕਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਇੱਕ ਗੁੰਝਲਦਾਰ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜਿਸਨੂੰ GhostCall ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਕਾਰਵਾਈ SnatchCrypto ਨਾਮਕ ਇੱਕ ਵਿਸ਼ਾਲ ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਜੁੜੀ ਪਹਿਲਕਦਮੀ ਦਾ ਹਿੱਸਾ ਹੈ, ਜੋ ਘੱਟੋ-ਘੱਟ 2017 ਤੋਂ ਸਰਗਰਮ ਹੈ। ਇਹ ਖ਼ਤਰਾ Lazarus Group ਦੇ ਸਬ-ਕਲੱਸਟਰ BlueNoroff ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਠਹਿਰਾਇਆ ਗਿਆ ਹੈ, ਜਿਸਨੂੰ APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet, ਅਤੇ Stardust Chollima ਸਮੇਤ ਕਈ ਉਪਨਾਮਾਂ ਨਾਲ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।
ਇਸ ਮੁਹਿੰਮ ਦੇ ਪੀੜਤਾਂ ਦੀ ਪਛਾਣ ਜਾਪਾਨ, ਇਟਲੀ, ਫਰਾਂਸ, ਸਿੰਗਾਪੁਰ, ਤੁਰਕੀ, ਸਪੇਨ, ਸਵੀਡਨ, ਭਾਰਤ ਅਤੇ ਹਾਂਗਕਾਂਗ ਵਿੱਚ ਕਈ ਮੈਕੋਸ ਹੋਸਟਾਂ ਵਿੱਚ ਕੀਤੀ ਗਈ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਸੂਝਵਾਨ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ ਫਿਸ਼ਿੰਗ ਤਕਨੀਕਾਂ
GhostCall ਤਕਨੀਕੀ ਕੰਪਨੀਆਂ ਅਤੇ ਉੱਦਮ ਪੂੰਜੀ ਫਰਮਾਂ ਦੇ ਕਾਰਜਕਾਰੀ ਅਧਿਕਾਰੀਆਂ ਦੇ macOS ਡਿਵਾਈਸਾਂ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਦਾ ਹੈ। ਹਮਲਾਵਰ ਟੈਲੀਗ੍ਰਾਮ ਵਰਗੇ ਪਲੇਟਫਾਰਮਾਂ ਰਾਹੀਂ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਟੀਚਿਆਂ ਨਾਲ ਸੰਪਰਕ ਕਰਦੇ ਹਨ, ਉਨ੍ਹਾਂ ਨੂੰ ਜ਼ੂਮ ਵਰਗੀਆਂ ਫਿਸ਼ਿੰਗ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਹੋਸਟ ਕੀਤੀਆਂ ਨਿਵੇਸ਼-ਸਬੰਧਤ ਮੀਟਿੰਗਾਂ ਲਈ ਸੱਦਾ ਦਿੰਦੇ ਹਨ।
ਹਮਲੇ ਦੇ ਮੁੱਖ ਪਹਿਲੂ:
- ਪੀੜਤ ਡੀਪ ਫੇਕ ਦੀ ਬਜਾਏ ਦੂਜੇ ਪੀੜਤਾਂ ਦੀਆਂ ਅਸਲੀ ਰਿਕਾਰਡਿੰਗਾਂ ਵਾਲੀਆਂ ਜਾਅਲੀ ਕਾਲਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ।
- ਕਾਲ ਦੌਰਾਨ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇੱਕ ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟ ਰਾਹੀਂ ਜ਼ੂਮ ਜਾਂ ਟੀਮਸ ਨੂੰ 'ਅਪਡੇਟ' ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
- ਸਕ੍ਰਿਪਟ ਜ਼ਿਪ ਫਾਈਲਾਂ ਡਾਊਨਲੋਡ ਕਰਦੀ ਹੈ ਜੋ ਹੋਸਟ 'ਤੇ ਮਲਟੀ-ਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਸ਼ੁਰੂ ਕਰਦੀਆਂ ਹਨ।
ਇਹ ਮੁਹਿੰਮ 2023 ਦੇ ਅੱਧ ਤੋਂ ਸਰਗਰਮ ਹੈ, ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ RustBucket ਮੁਹਿੰਮ ਤੋਂ ਬਾਅਦ, ਜਿਸਨੇ macOS-ਕੇਂਦ੍ਰਿਤ ਹਮਲਿਆਂ ਲਈ ਸਮੂਹ ਦੇ ਰਣਨੀਤਕ ਧੁਰੇ ਨੂੰ ਚਿੰਨ੍ਹਿਤ ਕੀਤਾ ਸੀ। ਬਾਅਦ ਵਿੱਚ ਤਾਇਨਾਤ ਕੀਤੇ ਗਏ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਵਿੱਚ KANDYKORN, ObjCShellz, ਅਤੇ TodoSwift ਸ਼ਾਮਲ ਹਨ।
ਧੋਖੇਬਾਜ਼ ਨਕਲੀ ਜ਼ੂਮ ਅਤੇ ਟੀਮਾਂ ਪੰਨੇ
GhostCall ਫਿਸ਼ਿੰਗ ਪੰਨਿਆਂ 'ਤੇ ਪਹੁੰਚਣ ਵਾਲੇ ਟਾਰਗੇਟ ਸ਼ੁਰੂ ਵਿੱਚ ਇੱਕ ਲਾਈਵ ਕਾਲ ਦਾ ਭਰਮ ਦੇਖਦੇ ਹਨ, ਜੋ ਜਲਦੀ ਹੀ ਇੱਕ ਗਲਤੀ ਸੁਨੇਹਾ ਚਾਲੂ ਕਰਦਾ ਹੈ। ਇਹ ਸੁਨੇਹਾ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਕਾਲ ਜਾਰੀ ਰੱਖਣ ਲਈ ਇੱਕ Zoom ਜਾਂ Teams Software Development Kit (SDK) ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਕਹਿੰਦਾ ਹੈ।
- macOS 'ਤੇ, 'ਹੁਣੇ ਅੱਪਡੇਟ ਕਰੋ' 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਨਾਲ ਇੱਕ ਖਤਰਨਾਕ AppleScript ਡਾਊਨਲੋਡ ਹੋ ਜਾਂਦੀ ਹੈ।
- ਵਿੰਡੋਜ਼ 'ਤੇ, ਹਮਲਾਵਰ ਪਾਵਰਸ਼ੈਲ ਕਮਾਂਡ ਨੂੰ ਚਲਾਉਣ ਲਈ ਕਲਿੱਕਫਿਕਸ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।
- ਜਾਅਲੀ ਸਾਈਟ ਨਾਲ ਹਰ ਗੱਲਬਾਤ ਨੂੰ ਟਰੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰ ਪੀੜਤ ਦੇ ਵਿਵਹਾਰ ਦੀ ਨਿਗਰਾਨੀ ਕਰ ਸਕਦੇ ਹਨ।
ਇਸ ਮੁਹਿੰਮ ਦਾ ਵਿਸਤਾਰ ਜ਼ੂਮ ਤੋਂ ਮਾਈਕ੍ਰੋਸਾਫਟ ਟੀਮਾਂ ਤੱਕ ਹੋ ਗਿਆ ਹੈ, ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਨੂੰ ਜਾਰੀ ਰੱਖਣ ਲਈ TeamsFx SDK ਡਾਊਨਲੋਡਸ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ।
ਮਾਲਵੇਅਰ ਅਤੇ ਇਨਫੈਕਸ਼ਨ ਚੇਨ
ਪਲੇਟਫਾਰਮ ਦੀ ਪਰਵਾਹ ਕੀਤੇ ਬਿਨਾਂ, ਐਪਲ ਸਕ੍ਰਿਪਟ ਨਕਲੀ ਜ਼ੂਮ ਜਾਂ ਟੀਮ ਐਪਸ ਸਥਾਪਤ ਕਰਦੀ ਹੈ ਅਤੇ ਡਾਊਨਟ੍ਰੌਏ ਡਾਊਨਲੋਡ ਕਰਦੀ ਹੈ, ਜੋ ਪਾਸਵਰਡ ਪ੍ਰਬੰਧਕਾਂ ਤੋਂ ਪਾਸਵਰਡ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ ਅਤੇ ਰੂਟ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨਾਲ ਵਾਧੂ ਮਾਲਵੇਅਰ ਸਥਾਪਤ ਕਰਦੀ ਹੈ। ਗੋਸਟਕਾਲ ਅੱਠ ਵੱਖ-ਵੱਖ ਅਟੈਕ ਚੇਨਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
ਜ਼ੂਮਕਲੱਚ / ਟੀਮਕਲੱਚ - ਸਵਿਫਟ-ਅਧਾਰਤ ਇਮਪਲਾਂਟ ਜੋ ਜ਼ੂਮ ਜਾਂ ਟੀਮ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲਦਾ ਹੈ; ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਲਈ ਸਿਸਟਮ ਪਾਸਵਰਡ ਪੁੱਛਦਾ ਹੈ।
ਡਾਊਨਟ੍ਰੌਏ v1 - ਗੋ-ਅਧਾਰਿਤ ਡਰਾਪਰ ਰੀਬੂਟ ਹੋਣ ਤੱਕ ਵਾਧੂ ਸਕ੍ਰਿਪਟਾਂ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਐਪਲਸਕ੍ਰਿਪਟ-ਅਧਾਰਿਤ ਡਾਊਨਟ੍ਰੌਏ ਲਾਂਚ ਕਰਦਾ ਹੈ।
CosmicDoor - C++ ਲੋਡਰ (GillyInjector) ਇੱਕ Nim ਬੈਕਡੋਰ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ; ਵਿਨਾਸ਼ਕਾਰੀ ਫਾਈਲ ਪੂੰਝਣ ਦੇ ਸਮਰੱਥ; SilentSiphon ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ।
ਰੂਟਰੋਏ - ਨਿਮਕੋਰ ਲੋਡਰ ਡਿਵਾਈਸ ਰਿਕਨਾਈਸੈਂਸ ਅਤੇ ਮਾਲਵੇਅਰ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਲਈ ਗੋ ਬੈਕਡੋਰ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ।
ਰੀਅਲਟਾਈਮਟ੍ਰੌਏ - ਨਿਮਕੋਰ ਲੋਡਰ ਗੋ ਬੈਕਡੋਰ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦਾ ਹੈ; ਫਾਈਲ ਅਤੇ ਸਿਸਟਮ ਨਿਯੰਤਰਣ ਲਈ WSS ਪ੍ਰੋਟੋਕੋਲ ਰਾਹੀਂ ਸੰਚਾਰ ਕਰਦਾ ਹੈ।
ਸਨੀਕਮੇਨ - ਵਾਧੂ ਐਪਲ ਸਕ੍ਰਿਪਟ ਕਮਾਂਡਾਂ ਚਲਾਉਣ ਲਈ ਨਿਮਕੋਰ ਲੋਡਰ ਰਾਹੀਂ ਨਿਮ ਪੇਲੋਡ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ।
ਡਾਊਨਟ੍ਰੌਏ v2 - ਕੋਰਕਿਟਏਜੈਂਟ ਡਰਾਪਰ ਨੇ ਵਾਧੂ ਸਕ੍ਰਿਪਟਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਐਪਲਸਕ੍ਰਿਪਟ-ਅਧਾਰਤ ਡਾਊਨਟ੍ਰੌਏ (ਨਿਮਡੂਰ) ਲਾਂਚ ਕੀਤਾ।
ਸਿਸਫੋਨ - ਰਸਟਬਕੇਟ ਵੰਸ਼ ਤੋਂ C++ ਡਾਊਨਲੋਡਰ; ਖੋਜ ਅਤੇ ਬਾਈਨਰੀ ਪ੍ਰਾਪਤੀ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਾਈਲੈਂਟਸਾਈਫਨ ਇਹਨਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਇਕੱਠਾ ਕਰਦਾ ਹੈ:
- ਐਪਲ ਨੋਟਸ, ਟੈਲੀਗ੍ਰਾਮ, ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨ, ਪਾਸਵਰਡ ਮੈਨੇਜਰ
- ਡਿਵੈਲਪਰ ਅਤੇ ਕਲਾਉਡ ਪਲੇਟਫਾਰਮ: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
- ਬਲਾਕਚੈਨ ਪਲੇਟਫਾਰਮ: ਸੂਈ, ਸੋਲਾਨਾ, ਨੇੜੇ, ਅਪਟੋਸ, ਐਲਗੋਰੈਂਡ
- ਸਿਸਟਮ ਟੂਲ: ਡੌਕਰ, ਕੁਬਰਨੇਟਸ, ਓਪਨਏਆਈ
ਮਨਘੜਤ ਮੀਟਿੰਗਾਂ ਰਾਹੀਂ ਖੋਜ
ਨਕਲੀ ਮੀਟਿੰਗਾਂ ਵਿੱਚ ਵੀਡੀਓ ਫੀਡ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਰਿਕਾਰਡ ਕੀਤੇ ਗਏ ਸਨ, ਜਦੋਂ ਕਿ ਭਾਗੀਦਾਰਾਂ ਦੀਆਂ ਪ੍ਰੋਫਾਈਲ ਤਸਵੀਰਾਂ ਲਿੰਕਡਇਨ, ਕਰੰਚਬੇਸ, ਜਾਂ ਐਕਸ (ਟਵਿੱਟਰ) ਵਰਗੇ ਪੇਸ਼ੇਵਰ ਨੈਟਵਰਕਾਂ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤੀਆਂ ਗਈਆਂ ਸਨ। ਕੁਝ ਤਸਵੀਰਾਂ ਨੂੰ GPT-4o ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਵਧਾਇਆ ਗਿਆ ਸੀ, ਜਿਸ ਨਾਲ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਦੀ ਚਾਲ ਵਿੱਚ ਯਥਾਰਥਵਾਦ ਦੀ ਇੱਕ ਪਰਤ ਸ਼ਾਮਲ ਹੋਈ।
GhostCall Web3 ਅਤੇ ਉੱਦਮ ਪੂੰਜੀ ਵਿੱਚ ਕਾਰਜਕਾਰੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਸਾਈਬਰ ਖਤਰਿਆਂ ਦੇ ਵਿਕਾਸ ਦੀ ਉਦਾਹਰਣ ਦਿੰਦਾ ਹੈ, ਜੋ ਕਿ ਉੱਨਤ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ, ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਮਾਲਵੇਅਰ, ਅਤੇ ਸੂਝਵਾਨ ਡੇਟਾ ਹਾਰਵੈਸਟਿੰਗ ਤਕਨੀਕਾਂ ਨੂੰ ਜੋੜਦਾ ਹੈ। ਇਹਨਾਂ ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਜੁੜੇ ਮੁਹਿੰਮਾਂ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ ਚੌਕਸੀ ਅਤੇ ਬਹੁ-ਪੱਧਰੀ ਬਚਾਅ ਮਹੱਤਵਪੂਰਨ ਹਨ।
