Rabattoffert för flera licenser
Hotdatabas Skadlig programvara GhostCall-kampanj mot skadlig kod

GhostCall-kampanj mot skadlig kod

Med Mezo år Skadlig programvara
Översätt till:

Cybersäkerhetsforskare har avslöjat en sofistikerad kampanj riktad mot Web3- och blockkedjesektorerna, spårad som GhostCall. Operationen är en del av ett bredare Nordkorea-kopplat initiativ kallat SnatchCrypto, aktivt sedan åtminstone 2017. Hotet tillskrivs Lazarus Group-underklustret BlueNoroff, även känt under flera alias inklusive APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet och Stardust Chollima.

Offer för kampanjen har identifierats på flera macOS-värdar i Japan, Italien, Frankrike, Singapore, Turkiet, Spanien, Sverige, Indien och Hongkong.

Sofistikerade sociala ingenjörskonst och nätfisketekniker

GhostCall fokuserar starkt på macOS-enheter som tillhör chefer inom teknikföretag och riskkapitalbolag. Angripare kontaktar mål direkt via plattformar som Telegram och bjuder in dem till investeringsrelaterade möten som hålls på Zoom-liknande nätfiskewebbplatser.

Viktiga aspekter av attacken:

  • Offren ansluter sig till falska samtal som innehåller genuina inspelningar av andra offer istället för djupfak.
  • Under samtalet uppmanas användarna att "uppdatera" Zoom eller Teams via ett skadligt skript.
  • Skriptet laddar ner ZIP-filer som initierar infektionskedjor i flera steg på värden.

Kampanjen har varit aktiv sedan mitten av 2023, troligen efter RustBucket-kampanjen, som markerade gruppens strategiska vändning mot macOS-fokuserade attacker. Efterföljande skadliga programfamiljer som distribuerats inkluderar KANDYKORN, ObjCShellz och TodoSwift.

Bedrägliga falska Zoom- och Teams-sidor

Mål som landar på GhostCalls nätfiskesidor ser initialt en illusion av ett livesamtal, vilket kort därefter utlöser ett felmeddelande. Meddelandet uppmanar användarna att ladda ner ett Zoom- eller Teams Software Development Kit (SDK) för att fortsätta samtalet.

  • På macOS laddar du ner ett skadligt AppleScript om du klickar på "Uppdatera nu".
  • På Windows använder angripare ClickFix-tekniken för att köra ett PowerShell-kommando.
  • Varje interaktion med den falska webbplatsen spåras, vilket gör det möjligt för angripare att övervaka offrets beteende.

Kampanjen har sedan dess expanderat från Zoom till Microsoft Teams, med hjälp av nedladdningar av TeamsFx SDK för att fortsätta infektionskedjan.

Skadlig programvara och infektionskedjor

Oavsett plattform installerar AppleScript falska Zoom- eller Teams-appar och laddar ner DownTroy, som samlar in lösenord från lösenordshanterare och installerar ytterligare skadlig kod med root-behörighet. GhostCall utnyttjar åtta olika attackkedjor, inklusive:

ZoomClutch / TeamsClutch – Swift-baserat implantat som utger sig för att vara Zoom eller Teams; uppmanar till systemlösenord för exfiltrering.

DownTroy v1 – Go-baserad dropper startar AppleScript-baserad DownTroy för att ladda ner ytterligare skript tills omstart.

CosmicDoor – C++-laddare (GillyInjector) injicerar en Nim-bakdörr; kapabel till destruktiv filrensning; laddar ner SilentSiphon.

RooTroy – Nimcore-laddaren injicerar Go-bakdörr för enhetsrekognoscering och körning av skadlig kod.

RealTimeTroy – Nimcore-loadern injicerar Go-bakdörren; kommunicerar via WSS-protokollet för fil- och systemkontroll.

SneakMain – Nim-nyttolast som körs via Nimcore-loadern för att köra ytterligare AppleScript-kommandon.

DownTroy v2 – CoreKitAgent-droppern startar AppleScript-baserade DownTroy (NimDoor) för att hämta ytterligare skript.

SysPhon – C++-nedladdare från RustBucket-linjen; används för rekognoscering och binär hämtning.

Dessutom samlar SilentSiphon in känsliga data från:

  • Apple Notes, Telegram, webbläsartillägg, lösenordshanterare
  • Utvecklare och molnplattformar: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Blockchain-plattformar: Sui, Solana, NEAR, Aptos, Algorand
  • Systemverktyg: Docker, Kubernetes, OpenAI

Rekognoscering via påhittade möten

Videoflödena i falska möten spelades in av angripare, medan profilbilder på deltagarna hämtades från professionella nätverk som LinkedIn, Crunchbase eller X (Twitter). Vissa bilder förbättrades med GPT-4o, vilket gav ett lager av realism till social engineering-knepet.

GhostCall exemplifierar utvecklingen av cyberhot riktade mot chefer inom Web3 och riskkapital, och kombinerar avancerad social ingenjörskonst, plattformsoberoende skadlig kod och sofistikerade datainnsamlingstekniker. Vaksamhet och flerskiktade försvar är avgörande för att motverka dessa Nordkorea-kopplade kampanjer.

Trendigt

Mest sedda

Läser in...