Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Kampania GhostCall Malware

Kampania GhostCall Malware

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

Badacze cyberbezpieczeństwa odkryli wyrafinowaną kampanię wymierzoną w sektory Web3 i blockchain, śledzoną jako GhostCall. Operacja jest częścią szerszej, powiązanej z Koreą Północną inicjatywy o nazwie SnatchCrypto, aktywnej co najmniej od 2017 roku. Zagrożenie przypisuje się podklastowi BlueNoroff z grupy Lazarus, znanemu również pod wieloma aliasami, takimi jak APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet i Stardust Chollima.

Ofiary tej kampanii zidentyfikowano na wielu platformach macOS w Japonii, Włoszech, Francji, Singapurze, Turcji, Hiszpanii, Szwecji, Indiach i Hongkongu.

Zaawansowane techniki inżynierii społecznej i phishingu

GhostCall koncentruje się głównie na urządzeniach z systemem macOS kadry kierowniczej firm technologicznych i funduszy venture capital. Atakujący kontaktują się bezpośrednio z ofiarami za pośrednictwem platform takich jak Telegram, zapraszając je na spotkania inwestycyjne organizowane na stronach phishingowych podobnych do Zoom.

Kluczowe aspekty ataku:

  • Ofiary przyłączają się do fałszywych połączeń zawierających prawdziwe nagrania innych ofiar, zamiast deepfake’ów.
  • Podczas połączenia użytkownicy są proszeni o „aktualizację” aplikacji Zoom lub Teams za pomocą złośliwego skryptu.
  • Skrypt pobiera pliki ZIP, które inicjują wieloetapowy łańcuch infekcji na hoście.

Kampania jest aktywna od połowy 2023 roku, prawdopodobnie po kampanii RustBucket, która zapoczątkowała strategiczny zwrot grupy w stronę ataków ukierunkowanych na system macOS. Kolejne wdrożone rodziny złośliwego oprogramowania to KANDYKORN, ObjCShellz i TodoSwift.

Oszukańcze fałszywe strony Zoom i Teams

Ofiary atakujące strony phishingowe GhostCall początkowo widzą iluzję trwającego połączenia, co po chwili powoduje wyświetlenie komunikatu o błędzie. Komunikat zachęca użytkowników do pobrania pakietu SDK (Software Development Kit) dla platformy Zoom lub Teams, aby kontynuować połączenie.

  • W systemie macOS kliknięcie przycisku „Aktualizuj teraz” powoduje pobranie złośliwego skryptu AppleScript.
  • W systemie Windows atakujący wykorzystują technikę ClickFix w celu wykonania polecenia programu PowerShell.
  • Każda interakcja z fałszywą witryną jest śledzona, co pozwala atakującym monitorować zachowanie ofiary.

Od tego czasu kampania rozszerzyła się z Zoom na Microsoft Teams, wykorzystując do kontynuacji łańcucha infekcji pobrane pakiety TeamsFx SDK.

Złośliwe oprogramowanie i łańcuchy infekcji

Niezależnie od platformy, AppleScript instaluje fałszywe aplikacje Zoom lub Teams i pobiera DownTroy, który przechwytuje hasła z menedżerów haseł i instaluje dodatkowe złośliwe oprogramowanie z uprawnieniami roota. GhostCall wykorzystuje osiem odrębnych łańcuchów ataków, w tym:

ZoomClutch / TeamsClutch – implant oparty na języku Swift podszywający się pod Zoom lub Teams; żąda podania haseł systemowych w celu uzyskania dostępu.

DownTroy v1 – oparty na języku Go dropper uruchamia oparty na AppleScript program DownTroy, który pobiera dodatkowe skrypty do momentu ponownego uruchomienia.

CosmicDoor – moduł ładujący C++ (GillyInjector) wstrzykujący backdoora Nim; zdolny do niszczącego usuwania plików; pobiera SilentSiphon.

RooTroy – program ładujący Nimcore wprowadza tylne drzwi Go umożliwiające rozpoznanie urządzenia i uruchomienie złośliwego oprogramowania.

RealTimeTroy – moduł ładujący Nimcore wprowadza tylne drzwi Go; komunikuje się za pomocą protokołu WSS w celu kontroli plików i systemu.

SneakMain – ładunek Nim wykonywany za pomocą modułu ładującego Nimcore w celu uruchomienia dodatkowych poleceń AppleScript.

DownTroy v2 – narzędzie do droppera CoreKitAgent uruchamia oparte na AppleScript narzędzie DownTroy (NimDoor) w celu pobrania dodatkowych skryptów.

SysPhon – program do pobierania plików C++ z rodziny RustBucket; używany do rozpoznania i pobierania plików binarnych.

Ponadto SilentSiphon zbiera poufne dane z:

  • Apple Notes, Telegram, rozszerzenia przeglądarek internetowych, menedżery haseł
  • Platformy dla deweloperów i w chmurze: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Platformy Blockchain: Sui, Solana, NEAR, Aptos, Algorand
  • Narzędzia systemowe: Docker, Kubernetes, OpenAI

Rozpoznanie poprzez sfabrykowane spotkania

Nagrania wideo z fałszywych spotkań zostały zarejestrowane przez atakujących, a zdjęcia profilowe uczestników pochodziły z profesjonalnych serwisów, takich jak LinkedIn, Crunchbase czy X (Twitter). Niektóre obrazy zostały ulepszone za pomocą GPT-4o, co dodało element realizmu do socjotechnicznego podstępu.

GhostCall ilustruje ewolucję cyberzagrożeń wymierzonych w kadrę zarządzającą firm Web3 i venture capital, łącząc zaawansowaną socjotechnikę, wieloplatformowe złośliwe oprogramowanie i zaawansowane techniki gromadzenia danych. Czujność i wielowarstwowe mechanizmy obronne są kluczowe w przeciwdziałaniu tym kampaniom powiązanym z Koreą Północną.

Popularne

Oszustwo związane z zagubieniem przesyłki DHL Express

Phishing, Spam
Badacze cyberbezpieczeństwa ostrzegają przed oszukańczą kampanią phishingową znaną jako oszustwo DHL Express Parcel Misplacement. Te fałszywe e-maile podszywają się pod oficjalne powiadomienia o doręczeniu, rzekomo wysyłane przez DHL. Wiadomości zazwyczaj sugerują, że odbiorca musi zweryfikować swój adres lub potwierdzić doręczenie, aby zapobiec zaginięciu przesyłki. W rzeczywistości te...

Najczęściej oglądane

Ładowanie...