Multi-License Discount Quote
Banta sa Database Malware GhostCall Malware Campaign

GhostCall Malware Campaign

Sa pamamagitan ng Mezo sa Malware
Isalin To:

Natuklasan ng mga mananaliksik ng cybersecurity ang isang sopistikadong kampanya na nagta-target sa mga sektor ng Web3 at blockchain, na sinusubaybayan bilang GhostCall. Ang operasyon ay bahagi ng isang mas malawak na inisyatiba na nauugnay sa North Korea na tinatawag na SnatchCrypto, aktibo mula noong hindi bababa sa 2017. Ang banta ay nauugnay sa sub-cluster ng Lazarus Group na BlueNoroff, na kilala rin sa maraming alyas kabilang ang APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet, at Stardust Chollima.

Natukoy ang mga biktima ng kampanya sa maraming macOS host sa Japan, Italy, France, Singapore, Turkey, Spain, Sweden, India, at Hong Kong.

Sopistikadong Social Engineering at Phishing Technique

Lubos na nakatuon ang GhostCall sa mga macOS device ng mga executive sa mga tech na kumpanya at venture capital firm. Direktang nakikipag-ugnayan ang mga attacker sa mga target sa pamamagitan ng mga platform tulad ng Telegram, na nag-iimbita sa kanila sa mga pulong na nauugnay sa pamumuhunan na naka-host sa mga website ng phishing na tulad ng Zoom.

Mga pangunahing aspeto ng pag-atake:

  • Sumasali ang mga biktima sa mga pekeng tawag na naglalaman ng mga tunay na recording ng iba pang biktima sa halip na mga deepfakes.
  • Sa panahon ng tawag, sinenyasan ang mga user na 'i-update' ang Zoom o Mga Koponan sa pamamagitan ng malisyosong script.
  • Nagda-download ang script ng mga ZIP file na nagpapasimula ng mga multi-stage na chain ng impeksyon sa host.

Ang kampanya ay naging aktibo mula noong kalagitnaan ng 2023, malamang na kasunod ng RustBucket na kampanya, na minarkahan ang madiskarteng pivot ng grupo sa mga pag-atake na nakatuon sa macOS. Kasama sa mga kasunod na pamilya ng malware na na-deploy ang KANDYKORN, ObjCShellz, at TodoSwift.

Mapanlinlang na Pekeng Zoom at Mga Pahina ng Mga Koponan

Ang mga target na landing sa GhostCall phishing page ay unang nakakakita ng ilusyon ng isang live na tawag, na nagti-trigger ng isang mensahe ng error sa ilang sandali. Ang mensahe ay nag-uudyok sa mga user na mag-download ng Zoom o Teams Software Development Kit (SDK) upang ipagpatuloy ang tawag.

  • Sa macOS, ang pag-click sa 'I-update Ngayon' ay nagda-download ng malisyosong AppleScript.
  • Sa Windows, ginagamit ng mga attacker ang ClickFix technique para magsagawa ng PowerShell command.
  • Ang bawat pakikipag-ugnayan sa pekeng site ay sinusubaybayan, na nagpapahintulot sa mga umaatake na subaybayan ang gawi ng biktima.

Lumawak na ang campaign mula Zoom hanggang Microsoft Teams, gamit ang mga pag-download ng TeamsFx SDK upang ipagpatuloy ang chain ng impeksyon.

Mga Kadena ng Malware at Impeksiyon

Anuman ang platform, nag-i-install ang AppleScript ng mga pekeng Zoom o Teams na app at nagda-download ng DownTroy, na kumukuha ng mga password mula sa mga tagapamahala ng password at nag-i-install ng karagdagang malware na may mga pribilehiyo sa ugat. Ang GhostCall ay gumagamit ng walong natatanging attack chain, kabilang ang:

ZoomClutch / TeamsClutch – Swift-based na implant na nagpapanggap bilang Zoom o Mga Koponan; sinenyasan ang mga password ng system para sa exfiltration.

DownTroy v1 – Inilunsad ng Go-based dropper ang AppleScript-based na DownTroy upang mag-download ng mga karagdagang script hanggang sa mag-reboot.

CosmicDoor – C++ loader (GillyInjector) injects a Nim backdoor; may kakayahang mapanirang pagpahid ng file; nagda-download ng SilentSiphon.

RooTroy – Ang Nimcore loader ay nag-inject ng Go backdoor para sa device reconnaissance at malware execution.

RealTimeTroy – Ang Nimcore loader ay nag-inject ng Go backdoor; nakikipag-usap sa pamamagitan ng WSS protocol para sa kontrol ng file at system.

SneakMain – Nim payload na isinagawa sa pamamagitan ng Nimcore loader upang magpatakbo ng karagdagang mga utos ng AppleScript.

DownTroy v2 – Inilunsad ng CoreKitAgent dropper ang DownTroy (NimDoor) na nakabatay sa AppleScript upang kunin ang mga karagdagang script.

SysPhon – C++ downloader mula sa RustBucket lineage; ginagamit para sa reconnaissance at binary retrieval.

Bilang karagdagan, ang SilentSiphon ay kumukuha ng sensitibong data mula sa:

  • Mga Tala ng Apple, Telegram, mga extension ng web browser, mga tagapamahala ng password
  • Mga developer at cloud platform: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, HashiCorp, Pulumio
  • Mga platform ng Blockchain: Sui, Solana, NEAR, Aptos, Algorand
  • Mga tool sa system: Docker, Kubernetes, OpenAI

Reconnaissance sa pamamagitan ng Fabricated Meetings

Ang mga video feed sa mga pekeng pagpupulong ay naitala ng mga umaatake, habang ang mga larawan sa profile ng mga kalahok ay nagmula sa mga propesyonal na network gaya ng LinkedIn, Crunchbase, o X (Twitter). Ang ilang mga imahe ay pinahusay gamit ang GPT-4o, nagdaragdag ng isang layer ng pagiging totoo sa social engineering ruse.

Inihalimbawa ng GhostCall ang ebolusyon ng mga banta sa cyber na nagta-target sa mga executive sa Web3 at venture capital, na pinagsasama ang advanced na social engineering, cross-platform na malware, at mga sopistikadong diskarte sa pagkuha ng data. Ang pagbabantay at mga multi-layered na depensa ay kritikal upang kontrahin ang mga kampanyang ito na nauugnay sa North Korea.

Trending

Pinaka Nanood

Naglo-load...