Кампанія зі шкідливим програмним забезпеченням GhostCall
Дослідники з кібербезпеки виявили складну кампанію, спрямовану на сектори Web3 та блокчейн, яку відстежують як GhostCall. Ця операція є частиною ширшої ініціативи, пов'язаної з Північною Кореєю, під назвою SnatchCrypto, яка діє щонайменше з 2017 року. Загроза пов'язана з підкластером Lazarus Group BlueNoroff, також відомим під кількома псевдонімами, включаючи APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet та Stardust Chollima.
Жертви кампанії були виявлені на кількох хостах macOS у Японії, Італії, Франції, Сінгапурі, Туреччині, Іспанії, Швеції, Індії та Гонконзі.
Зміст
Складні методи соціальної інженерії та фішингу
GhostCall значною мірою зосереджується на пристроях macOS керівників технологічних компаній та венчурних фірм. Зловмисники безпосередньо зв'язуються з цілями через такі платформи, як Telegram, запрошуючи їх на зустрічі, пов'язані з інвестиціями, що проводяться на фішингових веб-сайтах, схожих на Zoom.
Ключові аспекти атаки:
- Жертви приєднуються до фейкових дзвінків, що містять справжні записи інших жертв, а не діпфейки.
- Під час дзвінка користувачам пропонується «оновити» Zoom або Teams за допомогою шкідливого скрипта.
- Скрипт завантажує ZIP-файли, які ініціюють багатоетапні ланцюги зараження на хості.
Кампанія активна з середини 2023 року, ймовірно, після кампанії RustBucket, яка ознаменувала стратегічний перехід групи до атак, зосереджених на macOS. Серед наступних розгорнутих сімейств шкідливих програм є KANDYKORN, ObjCShellz та TodoSwift.
Оманливі фальшиві сторінки Zoom та Teams
Цілі, що потрапляють на фішингові сторінки GhostCall, спочатку бачать ілюзію активного дзвінка, що невдовзі викликає повідомлення про помилку. У повідомленні пропонується користувачам завантажити комплект розробки програмного забезпечення (SDK) для Zoom або Teams, щоб продовжити дзвінок.
- У macOS натискання кнопки «Оновити зараз» завантажує шкідливий файл AppleScript.
- У Windows зловмисники використовують техніку ClickFix для виконання команди PowerShell.
- Кожна взаємодія з фальшивим сайтом відстежується, що дозволяє зловмисникам контролювати поведінку жертви.
Відтоді кампанія розширилася із Zoom на Microsoft Teams, використовуючи завантаження TeamsFx SDK для продовження ланцюга зараження.
Шкідливе програмне забезпечення та ланцюги зараження
Незалежно від платформи, AppleScript встановлює фальшиві програми Zoom або Teams та завантажує DownTroy, який збирає паролі з менеджерів паролів та встановлює додаткове шкідливе програмне забезпечення з правами root. GhostCall використовує вісім різних ланцюгів атак, включаючи:
ZoomClutch / TeamsClutch – імплантат на базі Swift, що маскується під Zoom або Teams; запитує системні паролі для вилучення.
DownTroy v1 – дроппер на основі Go запускає DownTroy на основі AppleScript для завантаження додаткових скриптів до перезавантаження.
CosmicDoor – завантажувач C++ (GillyInjector) впроваджує бекдор Nim; здатний до руйнівного видалення файлів; завантажує SilentSiphon.
RooTroy – завантажувач Nimcore впроваджує бекдор Go для розвідки пристроїв та запуску шкідливого програмного забезпечення.
RealTimeTroy – завантажувач Nimcore впроваджує бекдор Go; взаємодіє через протокол WSS для контролю файлів та системи.
SneakMain – корисне навантаження Nim, що виконується через завантажувач Nimcore для запуску додаткових команд AppleScript.
DownTroy v2 – дроппер CoreKitAgent запускає DownTroy (NimDoor) на основі AppleScript для отримання додаткових скриптів.
SysPhon – завантажувач C++ з лінійки RustBucket; використовується для розвідки та пошуку бінарних файлів.
Крім того, SilentSiphon збирає конфіденційні дані з:
- Apple Notes, Telegram, розширення веббраузера, менеджери паролів
- Платформи для розробників та хмарні платформи: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
- Блокчейн-платформи: Sui, Solana, NEAR, Aptos, Algorand
- Системні інструменти: Docker, Kubernetes, OpenAI
Розвідка через сфабриковані зустрічі
Відео на фальшивих зустрічах записували зловмисники, а зображення профілів учасників бралися з професійних мереж, таких як LinkedIn, Crunchbase або X (Twitter). Деякі зображення були покращені за допомогою GPT-4o, що додало реалізму до хитрості соціальної інженерії.
GhostCall є прикладом еволюції кіберзагроз, спрямованих на керівників у Web3 та венчурному капіталі, поєднуючи передову соціальну інженерію, кросплатформне шкідливе програмне забезпечення та складні методи збору даних. Пильність та багаторівневий захист мають вирішальне значення для протидії цим кампаніям, пов'язаним з Північною Кореєю.
