Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Kampanja z zlonamerno programsko opremo GhostCall

Kampanja z zlonamerno programsko opremo GhostCall

Do leta Mezo leta Zlonamerna programska oprema
Prevedi v:

Raziskovalci kibernetske varnosti so odkrili sofisticirano kampanjo, usmerjeno v sektorja Web3 in blockchain, ki jo spremljajo kot GhostCall. Operacija je del širše pobude, povezane s Severno Korejo, imenovane SnatchCrypto, ki deluje vsaj od leta 2017. Grožnja se pripisuje podskupini BlueNoroff skupine Lazarus, znani tudi pod več vzdevki, vključno z APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet in Stardust Chollima.

Žrtve kampanje so bile identificirane na več gostiteljih macOS na Japonskem, v Italiji, Franciji, Singapurju, Turčiji, Španiji, Švedski, Indiji in Hongkongu.

Sofisticirane tehnike socialnega inženiringa in lažnega predstavljanja

GhostCall se močno osredotoča na naprave macOS, ki jih uporabljajo vodilni delavci tehnoloških podjetij in podjetij tveganega kapitala. Napadalci neposredno stopijo v stik s tarčami prek platform, kot je Telegram, in jih povabijo na sestanke, povezane z naložbami, ki se odvijajo na spletnih mestih za lažno predstavljanje, podobnih Zoomu.

Ključni vidiki napada:

  • Žrtve se pridružijo lažnim klicem, ki vsebujejo pristne posnetke drugih žrtev namesto ponaredkov.
  • Med klicem so uporabniki prek zlonamernega skripta pozvani k »posodobitvi« Zooma ali Teamsa.
  • Skripta prenese datoteke ZIP, ki sprožijo večstopenjske verige okužb na gostitelju.

Kampanja je aktivna od sredine leta 2023, verjetno po kampanji RustBucket, ki je zaznamovala strateški premik skupine k napadom, osredotočenim na macOS. Med poznejšimi družinami zlonamerne programske opreme so KANDYKORN, ObjCShellz in TodoSwift.

Zavajajoče lažne strani Zooma in Teams

Tarče, ki pristanejo na straneh za lažno predstavljanje GhostCall, sprva vidijo iluzijo klica v živo, kar kmalu sproži sporočilo o napaki. Sporočilo uporabnike pozove, naj prenesejo komplet za razvoj programske opreme (SDK) za Zoom ali Teams, da lahko nadaljujejo klic.

  • V sistemu macOS se s klikom na »Posodobi zdaj« prenese zlonamerna datoteka AppleScript.
  • V sistemu Windows napadalci uporabljajo tehniko ClickFix za izvajanje ukaza PowerShell.
  • Vsaka interakcija s ponarejenim spletnim mestom se spremlja, kar napadalcem omogoča spremljanje vedenja žrtve.

Kampanja se je od takrat razširila iz Zooma na Microsoft Teams, pri čemer so se za nadaljevanje verige okužbe uporabljali prenosi kompleta za razvoj programske opreme TeamsFx.

Zlonamerna programska oprema in verige okužb

Ne glede na platformo AppleScript namesti lažne aplikacije Zoom ali Teams in prenese DownTroy, ki zbira gesla iz upraviteljev gesel in namesti dodatno zlonamerno programsko opremo s korenskimi pravicami. GhostCall uporablja osem različnih napadalnih verig, vključno z:

ZoomClutch / TeamsClutch – Vsadek, ki temelji na Swiftu in se maskira kot Zoom ali Teams; za eksfiltracijo zahteva sistemska gesla.

DownTroy v1 – Spustnik, ki temelji na Go, zažene DownTroy, ki temelji na AppleScriptu, za prenos dodatnih skriptov do ponovnega zagona.

CosmicDoor – nalagalnik C++ (GillyInjector) vbrizga zadnja vrata Nim; zmožen je destruktivnega brisanja datotek; prenese SilentSiphon.

RooTroy – Nalagalnik Nimcore vbrizga zadnja vrata Go za izvidovanje naprav in izvajanje zlonamerne programske opreme.

RealTimeTroy – nalagalnik Nimcore vbrizga zadnja vrata Go; komunicira prek protokola WSS za nadzor datotek in sistema.

SneakMain – Nimov koristni tovor, izveden prek nalagalnika Nimcore za zagon dodatnih ukazov AppleScript.

DownTroy v2 – Spustnik CoreKitAgent zažene DownTroy (NimDoor), ki temelji na AppleScriptu, za pridobivanje dodatnih skript.

SysPhon – program za prenos C++ iz družine RustBucket; uporablja se za izvidovanje in iskanje binarnih datotek.

Poleg tega SilentSiphon zbira občutljive podatke iz:

  • Apple Notes, Telegram, razširitve spletnega brskalnika, upravitelji gesel
  • Razvijalske in oblačne platforme: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Blockchain platforme: Sui, Solana, NEAR, Aptos, Algorand
  • Sistemska orodja: Docker, Kubernetes, OpenAI

Izvidovanje prek izmišljenih srečanj

Video posnetke na lažnih sestankih so posneli napadalci, profilne slike udeležencev pa so bile pridobljene iz profesionalnih omrežij, kot so LinkedIn, Crunchbase ali X (Twitter). Nekatere slike so bile izboljšane z uporabo GPT-4o, kar je zvijači socialnega inženiringa dodalo plast realizma.

GhostCall ponazarja razvoj kibernetskih groženj, usmerjenih proti vodilnim delavcem v sektorju Web3 in tveganega kapitala, ter združuje napredni socialni inženiring, zlonamerno programsko opremo za več platform in sofisticirane tehnike zbiranja podatkov. Budnost in večplastna obramba sta ključnega pomena za preprečevanje teh s Severno Korejo povezanih kampanj.

V trendu

Prevara z zapravljenim paketom DHL Express

Lažno predstavljanje, Neželena pošta
Raziskovalci kibernetske varnosti so opozorili na zavajajočo phishing kampanjo, znano kot prevara z zapravljanjem paketov DHL Express. Ta goljufiva e-poštna sporočila so prikrita kot uradna obvestila o dostavi, ki naj bi jih poslal DHL. V sporočilih se običajno trdi, da mora prejemnik preveriti svoj naslov ali potrditi dostavo, da prepreči zapravljanje paketa. V resnici so te trditve popolnoma...

Najbolj gledan

Nalaganje...