Кампања са злонамерним софтвером GhostCall
Истраживачи сајбер безбедности открили су софистицирану кампању усмерену на Web3 и блокчејн секторе, праћену као GhostCall. Операција је део шире иницијативе повезане са Северном Корејом под називом SnatchCrypto, активне најмање од 2017. године. Претња се приписује подкластеру Lazarus Group, BlueNoroff, познатом и под више псеудонима, укључујући APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet и Stardust Chollima.
Жртве кампање су идентификоване на више macOS хостова у Јапану, Италији, Француској, Сингапуру, Турској, Шпанији, Шведској, Индији и Хонг Конгу.
Преглед садржаја
Софистициране технике друштвеног инжењеринга и фишинга
GhostCall се у великој мери фокусира на macOS уређаје руководилаца технолошких компанија и фирми ризичног капитала. Нападачи директно контактирају мете путем платформи попут Телеграма, позивајући их на састанке везане за инвестиције који се одржавају на фишинг веб-сајтовима сличним Зуму.
Кључни аспекти напада:
- Жртве се придружују лажним позивима који садрже аутентичне снимке других жртава уместо дипфејкова.
- Током позива, корисницима се путем злонамерног скрипта тражи да „ажурирају“ Zoom или Teams.
- Скрипта преузима ZIP датотеке које покрећу вишестепене ланце инфекције на хосту.
Кампања је активна од средине 2023. године, вероватно након кампање RustBucket, која је означила стратешки заокрет групе ка нападима усмереним на macOS. Накнадно примењене породице малвера укључују KANDYKORN, ObjCShellz и TodoSwift.
Обмањујуће лажне странице Zoom-а и Teams-а
Мете које слете на фишинг странице GhostCall-а прво виде илузију активног позива, што убрзо покреће поруку о грешци. Порука подстиче кориснике да преузму Zoom или Teams Software Development Kit (SDK) како би наставили позив.
- На macOS-у, кликом на „Ажурирај сада“ преузима се злонамерни AppleScript.
- На Windows-у, нападачи користе ClickFix технику за извршавање PowerShell команде.
- Свака интеракција са лажним сајтом се прати, што омогућава нападачима да прате понашање жртве.
Кампања се од тада проширила са Зума на Мајкрософт тимс, користећи преузимања са TeamsFx SDK-а за наставак ланца инфекције.
Злонамерни софтвер и ланци инфекције
Без обзира на платформу, AppleScript инсталира лажне Zoom или Teams апликације и преузима DownTroy, који прикупља лозинке из менаџера лозинки и инсталира додатни злонамерни софтвер са root привилегијама. GhostCall користи осам различитих ланаца напада, укључујући:
ZoomClutch / TeamsClutch – имплантат базиран на Swift-у који се маскира као Zoom или Teams; тражи системске лозинке за крађу.
DownTroy v1 – Дропер базиран на Go-у покреће DownTroy базиран на AppleScript-у да би преузео додатне скрипте до поновног покретања система.
CosmicDoor – C++ учитавач (GillyInjector) убризгава Nim задња врата; способан за деструктивно брисање датотека; преузима SilentSiphon.
RooTroy – Nimcore loader убризгава Go бекдор за извиђање уређаја и извршавање злонамерног софтвера.
RealTimeTroy – Nimcore loader убризгава Go бекдор; комуницира путем WSS протокола за контролу датотека и система.
SneakMain – Nim корисни терет извршан преко Nimcore loadera за покретање додатних AppleScript команди.
DownTroy v2 – CoreKitAgent дропер покреће DownTroy (NimDoor) заснован на AppleScript-у ради преузимања додатних скрипти.
SysPhon – C++ програм за преузимање из RustBucket лозе; користи се за извиђање и преузимање бинарних датотека.
Поред тога, SilentSiphon прикупља осетљиве податке из:
- Apple Notes, Telegram, проширења веб прегледача, менаџери лозинки
- Програмерске и облачне платформе: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
- Блоцкцхаин платформе: Суи, Солана, НЕАР, Аптос, Алгоранд
- Системски алати: Docker, Kubernetes, OpenAI
Извиђање путем лажних састанака
Видео снимке на лажним састанцима снимали су нападачи, док су профилне слике учесника преузете са професионалних мрежа као што су LinkedIn, Crunchbase или X (Twitter). Неке слике су побољшане коришћењем GPT-4o технологије, додајући слој реализма трику социјалног инжењеринга.
GhostCall је пример еволуције сајбер претњи усмерених на руководиоце у Web3 и ризичном капиталу, комбинујући напредни друштвени инжењеринг, кросплатформски злонамерни софтвер и софистициране технике прикупљања података. Будност и вишеслојна одбрана су кључни за сузбијање ових кампања повезаних са Северном Корејом.
