แคมเปญมัลแวร์ GhostCall
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบแคมเปญที่ซับซ้อนซึ่งมุ่งเป้าไปที่กลุ่ม Web3 และบล็อกเชน ซึ่งติดตามในชื่อ GhostCall ปฏิบัติการนี้เป็นส่วนหนึ่งของโครงการ SnatchCrypto ซึ่งเชื่อมโยงกับเกาหลีเหนืออย่างกว้างขวางกว่า ซึ่งดำเนินการมาอย่างน้อยตั้งแต่ปี 2017 ภัยคุกคามนี้มาจากกลุ่มย่อยของ Lazarus Group ชื่อ BlueNoroff หรือที่รู้จักกันในชื่ออื่น ๆ มากมาย เช่น APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet และ Stardust Chollima
มีการระบุเหยื่อของแคมเปญนี้แล้วในโฮสต์ macOS หลายเครื่องในญี่ปุ่น อิตาลี ฝรั่งเศส สิงคโปร์ ตุรกี สเปน สวีเดน อินเดีย และฮ่องกง
สารบัญ
วิศวกรรมสังคมที่ซับซ้อนและเทคนิคฟิชชิ่ง
GhostCall มุ่งเน้นไปที่อุปกรณ์ macOS ของผู้บริหารในบริษัทเทคโนโลยีและบริษัทเงินร่วมลงทุนเป็นหลัก ผู้โจมตีจะติดต่อเป้าหมายโดยตรงผ่านแพลตฟอร์มอย่าง Telegram โดยเชิญพวกเขาเข้าร่วมการประชุมเกี่ยวกับการลงทุนที่จัดขึ้นบนเว็บไซต์ฟิชชิ่งแบบเดียวกับ Zoom
ประเด็นสำคัญของการโจมตี:
- เหยื่อจะเข้าร่วมการโทรปลอมที่มีการบันทึกเสียงจริงของเหยื่อรายอื่นแทนที่จะเป็นแบบดีปเฟก
- ในระหว่างการโทร ผู้ใช้จะได้รับแจ้งให้ 'อัปเดต' Zoom หรือ Teams ผ่านสคริปต์ที่เป็นอันตราย
- สคริปต์จะดาวน์โหลดไฟล์ ZIP ที่จะเริ่มห่วงโซ่การติดเชื้อหลายขั้นตอนบนโฮสต์
แคมเปญนี้เริ่มดำเนินการมาตั้งแต่กลางปี 2023 ซึ่งน่าจะเกิดขึ้นหลังจากแคมเปญ RustBucket ซึ่งเป็นจุดเปลี่ยนกลยุทธ์ของกลุ่มไปสู่การโจมตีบน macOS มัลแวร์ตระกูลอื่นๆ ที่ถูกนำไปใช้งานตามมา ได้แก่ KANDYKORN, ObjCShellz และ TodoSwift
หน้า Zoom และทีมปลอมที่หลอกลวง
เป้าหมายที่เข้ามาในหน้าฟิชชิ่ง GhostCall ในตอนแรกจะมองเห็นภาพลวงตาของการโทรสด ซึ่งไม่นานก็จะแสดงข้อความแสดงข้อผิดพลาด ข้อความนี้จะแจ้งให้ผู้ใช้ดาวน์โหลด Zoom หรือ Teams Software Development Kit (SDK) เพื่อดำเนินการโทรต่อ
- บน macOS การคลิก "อัปเดตทันที" จะดาวน์โหลด AppleScript ที่เป็นอันตราย
- ใน Windows ผู้โจมตีใช้ เทคนิค ClickFix เพื่อดำเนินการคำสั่ง PowerShell
- ทุกการโต้ตอบกับไซต์ปลอมจะถูกติดตาม ทำให้ผู้โจมตีสามารถตรวจสอบพฤติกรรมของเหยื่อได้
ตั้งแต่นั้นเป็นต้นมา แคมเปญดังกล่าวได้ขยายจาก Zoom ไปจนถึง Microsoft Teams โดยใช้การดาวน์โหลด SDK ของ TeamsFx เพื่อดำเนินห่วงโซ่การติดเชื้อต่อไป
มัลแวร์และห่วงโซ่การติดเชื้อ
ไม่ว่าจะใช้แพลตฟอร์มใด AppleScript จะติดตั้งแอปปลอมอย่าง Zoom หรือ Teams และดาวน์โหลด DownTroy ซึ่งรวบรวมรหัสผ่านจากโปรแกรมจัดการรหัสผ่านและติดตั้งมัลแวร์เพิ่มเติมที่มีสิทธิ์ระดับรูท GhostCall ใช้ประโยชน์จากเครือข่ายการโจมตีที่แตกต่างกัน 8 แบบ ได้แก่:
ZoomClutch / TeamsClutch – การฝังระบบบน Swift ที่ปลอมตัวเป็น Zoom หรือ Teams แจ้งเตือนรหัสผ่านระบบเพื่อการแยกข้อมูล
DownTroy v1 – ดร็อปเปอร์ที่ใช้ Go จะเปิดตัว DownTroy ที่ใช้ AppleScript เพื่อดาวน์โหลดสคริปต์เพิ่มเติมจนกว่าจะรีบูต
CosmicDoor – ตัวโหลด C++ (GillyInjector) ฉีด Nim backdoor ซึ่งสามารถลบไฟล์ที่เป็นอันตรายได้ ดาวน์โหลด SilentSiphon
RooTroy – ตัวโหลด Nimcore ฉีด Go backdoor เพื่อตรวจสอบอุปกรณ์และดำเนินการมัลแวร์
RealTimeTroy – ตัวโหลด Nimcore ฉีด Go backdoor สื่อสารผ่านโปรโตคอล WSS เพื่อควบคุมไฟล์และระบบ
SneakMain – เพย์โหลด Nim ที่ดำเนินการผ่านตัวโหลด Nimcore เพื่อรันคำสั่ง AppleScript เพิ่มเติม
DownTroy v2 – CoreKitAgent dropper เปิดตัว DownTroy (NimDoor) ที่ใช้ AppleScript เพื่อรับสคริปต์เพิ่มเติม
SysPhon – โปรแกรมดาวน์โหลด C++ จากตระกูล RustBucket ใช้สำหรับการลาดตระเวนและการดึงข้อมูลไบนารี
นอกจากนี้ SilentSiphon ยังรวบรวมข้อมูลที่ละเอียดอ่อนจาก:
- Apple Notes, Telegram, ส่วนขยายเว็บเบราว์เซอร์, ตัวจัดการรหัสผ่าน
- แพลตฟอร์มสำหรับนักพัฒนาและคลาวด์: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
- แพลตฟอร์มบล็อคเชน: Sui, Solana, NEAR, Aptos, Algorand
- เครื่องมือระบบ: Docker, Kubernetes, OpenAI
การลาดตระเวนผ่านการประชุมที่กุขึ้น
ฟีดวิดีโอในการประชุมปลอมถูกบันทึกโดยผู้โจมตี ขณะที่รูปโปรไฟล์ของผู้เข้าร่วมมาจากเครือข่ายมืออาชีพ เช่น LinkedIn, Crunchbase หรือ X (Twitter) ภาพบางภาพได้รับการปรับปรุงด้วย GPT-4o ซึ่งเพิ่มความสมจริงให้กับกลอุบายทางวิศวกรรมสังคม
GhostCall เป็นตัวอย่างวิวัฒนาการของภัยคุกคามทางไซเบอร์ที่พุ่งเป้าไปที่ผู้บริหารในธุรกิจ Web3 และธุรกิจร่วมลงทุน ผสมผสานวิศวกรรมสังคมขั้นสูง มัลแวร์ข้ามแพลตฟอร์ม และเทคนิคการเก็บเกี่ยวข้อมูลที่ซับซ้อน ความระมัดระวังและการป้องกันแบบหลายชั้นเป็นสิ่งสำคัญอย่างยิ่งในการรับมือกับแคมเปญที่เชื่อมโยงกับเกาหลีเหนือเหล่านี้
