Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Kampaň so škodlivým softvérom GhostCall

Kampaň so škodlivým softvérom GhostCall

Do roku Mezo v roku Malvér
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili sofistikovanú kampaň zameranú na sektory Web3 a blockchainu, ktorá je sledovaná ako GhostCall. Táto operácia je súčasťou širšej iniciatívy spojenej so Severnou Kóreou s názvom SnatchCrypto, ktorá je aktívna minimálne od roku 2017. Hrozba sa pripisuje podklastru skupiny Lazarus Group BlueNoroff, známemu aj pod viacerými prezývkami vrátane APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet a Stardust Chollima.

Obete kampane boli identifikované na viacerých hostiteľských zariadeniach so systémom macOS v Japonsku, Taliansku, Francúzsku, Singapure, Turecku, Španielsku, Švédsku, Indii a Hongkongu.

Sofistikované techniky sociálneho inžinierstva a phishingu

GhostCall sa vo veľkej miere zameriava na zariadenia macOS manažérov technologických spoločností a firiem rizikového kapitálu. Útočníci priamo kontaktujú ciele prostredníctvom platforiem ako Telegram a pozývajú ich na stretnutia súvisiace s investíciami, ktoré sa konajú na phishingových webových stránkach podobných Zoomu.

Kľúčové aspekty útoku:

  • Obete sa pripájajú k falošným hovorom, ktoré obsahujú pravé nahrávky iných obetí namiesto deepfakov.
  • Počas hovoru sú používatelia vyzvaní na „aktualizáciu“ Zoomu alebo Teams prostredníctvom škodlivého skriptu.
  • Skript sťahuje ZIP súbory, ktoré iniciujú viacstupňové infekčné reťazce na hostiteľovi.

Kampaň je aktívna od polovice roka 2023, pravdepodobne po kampani RustBucket, ktorá znamenala strategický prechod skupiny na útoky zamerané na macOS. Medzi následne nasadené rodiny malvéru patria KANDYKORN, ObjCShellz a TodoSwift.

Klamlivé falošné stránky Zoom a Teams

Ciele, ktoré sa dostanú na phishingové stránky GhostCall, najprv vidia ilúziu živého hovoru, čo krátko po spustení spustí chybové hlásenie. Správa vyzve používateľov, aby si stiahli súpravu na vývoj softvéru (SDK) pre Zoom alebo Teams a mohli v hovore pokračovať.

  • V systéme macOS sa kliknutím na tlačidlo „Aktualizovať teraz“ stiahne škodlivý súbor AppleScript.
  • V systéme Windows útočníci používajú techniku ClickFix na vykonanie príkazu PowerShell.
  • Každá interakcia s falošnou stránkou je sledovaná, čo útočníkom umožňuje monitorovať správanie obete.

Kampaň sa odvtedy rozšírila zo Zoomu na Microsoft Teams a na pokračovanie infekčného reťazca sa použili stiahnutia súpravy TeamsFx SDK.

Škodlivý softvér a reťazce infekcií

Bez ohľadu na platformu AppleScript inštaluje falošné aplikácie Zoom alebo Teams a stiahne DownTroy, ktorý zhromažďuje heslá zo správcov hesiel a inštaluje ďalší malvér s oprávneniami root. GhostCall využíva osem rôznych útočných reťazcov vrátane:

ZoomClutch / TeamsClutch – Implantát založený na Swift, ktorý sa maskuje ako Zoom alebo Teams; vyzýva na zadanie systémových hesiel pre odhalenie.

DownTroy v1 – Dropper založený na jazyku Go spúšťa DownTroy založený na jazyku AppleScript, ktorý sťahuje ďalšie skripty až do reštartu.

CosmicDoor – zavádzač C++ (GillyInjector) vkladá zadné vrátka Nim; schopný deštruktívneho vymazania súborov; sťahuje SilentSiphon.

RooTroy – zavádzač Nimcore vkladá zadné vrátka Go na prieskum zariadenia a spustenie škodlivého softvéru.

RealTimeTroy – zavádzač Nimcore vkladá zadné vrátka Go; komunikuje cez protokol WSS pre správu súborov a systému.

SneakMain – užitočné zaťaženie Nim spustené pomocou zavádzača Nimcore na spustenie ďalších príkazov AppleScript.

DownTroy v2 – nástroj CoreKitAgent spúšťa nástroj DownTroy (NimDoor) založený na jazyku AppleScript na načítanie ďalších skriptov.

SysPhon – C++ downloader z línie RustBucket; používaný na prieskum a vyhľadávanie binárnych súborov.

SilentSiphon navyše zhromažďuje citlivé údaje z:

  • Apple Notes, Telegram, rozšírenia webového prehliadača, správcovia hesiel
  • Vývojárske a cloudové platformy: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Blockchainové platformy: Sui, Solana, NEAR, Aptos, Algorand
  • Systémové nástroje: Docker, Kubernetes, OpenAI

Prieskum prostredníctvom vykonštruovaných stretnutí

Videozáznamy z falošných stretnutí nahrávali útočníci, zatiaľ čo profilové obrázky účastníkov pochádzali z profesionálnych sietí, ako sú LinkedIn, Crunchbase alebo X (Twitter). Niektoré obrázky boli vylepšené pomocou GPT-4o, čím sa tomuto triku sociálneho inžinierstva pridala vrstva realizmu.

GhostCall je príkladom vývoja kybernetických hrozieb zameraných na manažérov v oblasti Web3 a rizikového kapitálu, ktoré kombinujú pokročilé sociálne inžinierstvo, multiplatformový malvér a sofistikované techniky zberu údajov. Ostražitosť a viacvrstvová obrana sú kľúčové pre boj proti týmto kampaniam prepojeným so Severnou Kóreou.

Trendy

Podvod s nesprávnym umiestnením balíka DHL Express

Phishing, Spam
Výskumníci v oblasti kybernetickej bezpečnosti varovali pred klamlivou phishingovou kampaňou známou ako podvod s chybným umiestnením balíka DHL Express. Tieto podvodné e-maily sú maskované ako oficiálne oznámenia o doručení, ktoré údajne odosiela spoločnosť DHL. V správach sa zvyčajne uvádza, že príjemca musí overiť svoju adresu alebo potvrdiť doručenie, aby sa predišlo strate balíka. V...

Najviac videné

Načítava...