Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım GhostCall Kötü Amaçlı Yazılım Kampanyası

GhostCall Kötü Amaçlı Yazılım Kampanyası

Mezo'de Kötü amaçlı yazılım'de
Çevir:

Siber güvenlik araştırmacıları, GhostCall adıyla takip edilen, Web3 ve blockchain sektörlerini hedef alan karmaşık bir saldırıyı ortaya çıkardı. Operasyon, en az 2017'den beri faaliyet gösteren, Kuzey Kore bağlantılı daha geniş kapsamlı bir girişim olan SnatchCrypto'nun bir parçası. Tehdit, APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet ve Stardust Chollima gibi çeşitli takma adlarla da bilinen Lazarus Group alt kümesi BlueNoroff'a atfediliyor.

Kampanyanın kurbanları Japonya, İtalya, Fransa, Singapur, Türkiye, İspanya, İsveç, Hindistan ve Hong Kong'daki çok sayıda macOS sunucusunda tespit edildi.

Gelişmiş Sosyal Mühendislik ve Kimlik Avı Teknikleri

GhostCall, teknoloji şirketleri ve girişim sermayesi şirketlerindeki yöneticilerin macOS cihazlarına yoğun bir şekilde odaklanıyor. Saldırganlar, Telegram gibi platformlar aracılığıyla hedeflerle doğrudan iletişime geçerek, onları Zoom benzeri kimlik avı sitelerinde düzenlenen yatırım toplantılarına davet ediyor.

Saldırının temel yönleri:

  • Mağdurlar, deepfake yerine diğer mağdurların gerçek kayıtlarını içeren sahte aramalara katılıyor.
  • Görüşme sırasında, kötü amaçlı bir komut dosyası aracılığıyla kullanıcılara Zoom veya Teams'i 'güncellemeleri' yönünde uyarı veriliyor.
  • Betik, ana bilgisayarda çok aşamalı enfeksiyon zincirlerini başlatan ZIP dosyalarını indirir.

Kampanya, muhtemelen grubun macOS odaklı saldırılara stratejik geçişini simgeleyen RustBucket kampanyasının ardından, 2023 ortalarından beri aktif. Daha sonra dağıtılan kötü amaçlı yazılım aileleri arasında KANDYKORN, ObjCShellz ve TodoSwift yer alıyor.

Aldatıcı Sahte Zoom ve Teams Sayfaları

GhostCall kimlik avı sayfalarına gelen hedefler, başlangıçta canlı bir görüşme izlenimi görür ve kısa süre sonra bir hata mesajı tetiklenir. Mesaj, kullanıcıları görüşmeye devam etmek için bir Zoom veya Teams Yazılım Geliştirme Kiti (SDK) indirmeye yönlendirir.

  • macOS'ta 'Şimdi Güncelle'ye tıklamak kötü amaçlı bir AppleScript indirir.
  • Windows'ta saldırganlar PowerShell komutunu çalıştırmak için ClickFix tekniğini kullanır.
  • Sahte siteyle yapılan her etkileşim izleniyor ve bu da saldırganların kurbanın davranışlarını izlemesine olanak tanıyor.

Kampanya o zamandan beri Zoom'dan Microsoft Teams'e genişledi ve enfeksiyon zincirini devam ettirmek için TeamsFx SDK indirmelerini kullandı.

Kötü Amaçlı Yazılım ve Enfeksiyon Zincirleri

Platformdan bağımsız olarak, AppleScript sahte Zoom veya Teams uygulamaları yükler ve şifre yöneticilerinden şifreleri toplayan ve kök ayrıcalıklarına sahip ek kötü amaçlı yazılımlar yükleyen DownTroy'u indirir. GhostCall, aşağıdakiler de dahil olmak üzere sekiz farklı saldırı zincirinden yararlanır:

ZoomClutch / TeamsClutch – Zoom veya Teams gibi görünen Swift tabanlı implant; sızdırılmak üzere sistem şifrelerini istiyor.

DownTroy v1 – Go tabanlı dropper, yeniden başlatılana kadar ek betikleri indirmek için AppleScript tabanlı DownTroy'u başlatır.

CosmicDoor – C++ yükleyicisi (GillyInjector) bir Nim arka kapısı enjekte eder; yıkıcı dosya silme yeteneğine sahiptir; SilentSiphon'u indirir.

RooTroy – Nimcore yükleyici, cihaz keşfi ve kötü amaçlı yazılım çalıştırma için Go arka kapısını enjekte ediyor.

RealTimeTroy – Nimcore yükleyici Go arka kapısını enjekte eder; dosya ve sistem kontrolü için WSS protokolü üzerinden iletişim kurar.

SneakMain – Ek AppleScript komutlarını çalıştırmak için Nimcore yükleyicisi aracılığıyla yürütülen Nim yükü.

DownTroy v2 – CoreKitAgent dropper, ek betikleri almak için AppleScript tabanlı DownTroy'u (NimDoor) başlatır.

SysPhon – RustBucket soyundan gelen C++ indirici; keşif ve ikili veri alma için kullanılır.

Ayrıca SilentSiphon şu kaynaklardan hassas veriler toplar:

  • Apple Notes, Telegram, web tarayıcısı uzantıları, parola yöneticileri
  • Geliştirici ve bulut platformları: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
  • Blockchain platformları: Sui, Solana, NEAR, Aptos, Algorand
  • Sistem araçları: Docker, Kubernetes, OpenAI

Uydurma Toplantılar Yoluyla Keşif

Sahte toplantılardaki video akışları saldırganlar tarafından kaydedilirken, katılımcıların profil görüntüleri LinkedIn, Crunchbase veya X (Twitter) gibi profesyonel ağlardan elde edildi. Bazı görüntüler GPT-4o kullanılarak iyileştirildi ve sosyal mühendislik hilesine bir kat daha gerçekçilik kazandırıldı.

GhostCall, gelişmiş sosyal mühendislik, platformlar arası kötü amaçlı yazılımlar ve karmaşık veri toplama tekniklerini bir araya getirerek, Web3 ve girişim sermayesi yöneticilerini hedef alan siber tehditlerin evrimini örneklemektedir. Kuzey Kore bağlantılı bu saldırılara karşı koymak için dikkatli olmak ve çok katmanlı savunmalar kritik öneme sahiptir.

trend

DHL Express Paket Kayıp Yeri Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Siber güvenlik araştırmacıları, DHL Express Paket Kayıp Yeri Dolandırıcılığı olarak bilinen aldatıcı bir kimlik avı kampanyası konusunda uyarıda bulundu. Bu sahte e-postalar, DHL tarafından gönderildiği iddia edilen resmi teslimat bildirimleri gibi gizleniyor. Mesajlar genellikle alıcının paket kaybını önlemek için adresini doğrulaması veya teslimatı onaylaması gerektiğini iddia ediyor....

En çok görüntülenen

Yükleniyor...