Вредоносная кампания GhostCall
Исследователи кибербезопасности раскрыли сложную кампанию, нацеленную на секторы Web3 и блокчейна, известную как GhostCall. Эта операция является частью более масштабной инициативы SnatchCrypto, связанной с Северной Кореей и действующей как минимум с 2017 года. Угрозу связывают с подкластером BlueNoroff группы Lazarus, также известным под несколькими псевдонимами, включая APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet и Stardust Chollima.
Жертвы кампании были выявлены на нескольких хостах macOS в Японии, Италии, Франции, Сингапуре, Турции, Испании, Швеции, Индии и Гонконге.
Оглавление
Сложные методы социальной инженерии и фишинга
GhostCall в основном нацелен на устройства macOS, принадлежащие руководителям технологических компаний и венчурных фондов. Злоумышленники напрямую связываются с жертвами через такие платформы, как Telegram, приглашая их на инвестиционные встречи, проводимые на фишинговых сайтах, похожих на Zoom.
Ключевые аспекты атаки:
- Жертвы присоединяются к поддельным звонкам, содержащим настоящие записи других жертв вместо дипфейков.
- Во время звонка пользователям предлагается «обновить» Zoom или Teams с помощью вредоносного скрипта.
- Скрипт загружает ZIP-файлы, которые инициируют многоэтапные цепочки заражения на хосте.
Кампания активна с середины 2023 года, вероятно, после кампании RustBucket, которая ознаменовала стратегический поворот группировки к атакам, ориентированным на macOS. Среди последующих вредоносных семейств были развернуты KANDYKORN, ObjCShellz и TodoSwift.
Поддельные страницы Zoom и Teams
Попав на фишинговые страницы GhostCall, жертвы сначала видят иллюзию живого звонка, что вскоре приводит к появлению сообщения об ошибке. В сообщении предлагается загрузить комплект средств разработки программного обеспечения (SDK) Zoom или Teams для продолжения звонка.
- В macOS нажатие кнопки «Обновить сейчас» загружает вредоносный AppleScript.
- В Windows злоумышленники используют технику ClickFix для выполнения команды PowerShell.
- Каждое взаимодействие с поддельным сайтом отслеживается, что позволяет злоумышленникам контролировать поведение жертвы.
С тех пор кампания расширилась с Zoom на Microsoft Teams, используя загрузки TeamsFx SDK для продолжения цепочки заражения.
Вредоносные программы и цепочки заражения
Независимо от платформы, AppleScript устанавливает поддельные приложения Zoom или Teams и загружает DownTroy, который собирает пароли из менеджеров паролей и устанавливает дополнительное вредоносное ПО с правами root. GhostCall использует восемь различных цепочек атак, включая:
ZoomClutch / TeamsClutch – имплант на базе Swift, маскирующийся под Zoom или Teams; запрашивает системные пароли для эксфильтрации.
DownTroy v1 – дроппер на базе Go запускает DownTroy на базе AppleScript для загрузки дополнительных скриптов до перезагрузки.
CosmicDoor – загрузчик C++ (GillyInjector) внедряет бэкдор Nim; способен уничтожать файлы; загружает SilentSiphon.
RooTroy – загрузчик Nimcore внедряет бэкдор Go для разведки устройств и выполнения вредоносного ПО.
RealTimeTroy – загрузчик Nimcore внедряет бэкдор Go; взаимодействует через протокол WSS для управления файлами и системой.
SneakMain – полезная нагрузка Nim, выполняемая через загрузчик Nimcore для запуска дополнительных команд AppleScript.
DownTroy v2 – CoreKitAgent dropper запускает DownTroy (NimDoor) на базе AppleScript для получения дополнительных скриптов.
SysPhon – загрузчик C++ из семейства RustBucket; используется для разведки и извлечения двоичных файлов.
Кроме того, SilentSiphon собирает конфиденциальные данные из:
- Apple Notes, Telegram, расширения для веб-браузеров, менеджеры паролей
- Платформы для разработчиков и облачные платформы: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
- Платформы блокчейна: Sui, Solana, NEAR, Aptos, Algorand.
- Системные инструменты: Docker, Kubernetes, OpenAI
Разведка посредством сфабрикованных встреч
Видеотрансляции фальшивых встреч записывались злоумышленниками, а изображения профилей участников были взяты из профессиональных сетей, таких как LinkedIn, Crunchbase или X (Twitter). Некоторые изображения были обработаны с помощью GPT-4o, что добавило реалистичности этой уловке, основанной на социальной инженерии.
GhostCall служит примером эволюции киберугроз, нацеленных на руководителей компаний Web3 и венчурного капитала, сочетая в себе передовую социальную инженерию, кроссплатформенное вредоносное ПО и сложные методы сбора данных. Бдительность и многоуровневая защита критически важны для противодействия этим кампаниям, связанным с Северной Кореей.
