Chiến dịch phần mềm độc hại GhostCall

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch tinh vi nhắm vào các lĩnh vực Web3 và blockchain, được theo dõi với tên gọi GhostCall. Chiến dịch này là một phần của sáng kiến rộng lớn hơn có liên quan đến Triều Tiên mang tên SnatchCrypto, đã hoạt động ít nhất từ năm 2017. Mối đe dọa này được cho là do nhóm nhỏ BlueNoroff của Lazarus Group, còn được biết đến với nhiều biệt danh khác nhau bao gồm APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet và Stardust Chollima, thực hiện.

Nạn nhân của chiến dịch này đã được xác định trên nhiều máy chủ macOS ở Nhật Bản, Ý, Pháp, Singapore, Thổ Nhĩ Kỳ, Tây Ban Nha, Thụy Điển, Ấn Độ và Hồng Kông.

Kỹ thuật lừa đảo và kỹ thuật xã hội tinh vi

GhostCall tập trung chủ yếu vào các thiết bị macOS của giám đốc điều hành tại các công ty công nghệ và công ty đầu tư mạo hiểm. Kẻ tấn công liên hệ trực tiếp với mục tiêu thông qua các nền tảng như Telegram, mời họ tham gia các cuộc họp liên quan đến đầu tư được tổ chức trên các trang web lừa đảo tương tự Zoom.

Các khía cạnh chính của cuộc tấn công:

• Nạn nhân tham gia các cuộc gọi giả mạo có chứa bản ghi âm thật của các nạn nhân khác thay vì deepfake.
• Trong cuộc gọi, người dùng được nhắc 'cập nhật' Zoom hoặc Teams thông qua một tập lệnh độc hại.
• Tập lệnh này tải xuống các tệp ZIP khởi tạo chuỗi lây nhiễm nhiều giai đoạn trên máy chủ.

Chiến dịch này đã hoạt động từ giữa năm 2023, có thể là sau chiến dịch RustBucket, đánh dấu bước chuyển chiến lược của nhóm sang các cuộc tấn công tập trung vào macOS. Các họ phần mềm độc hại được triển khai sau đó bao gồm KANDYKORN, ObjCShellz và TodoSwift.

Các trang Zoom và Teams giả mạo lừa đảo

Mục tiêu truy cập vào các trang lừa đảo GhostCall ban đầu sẽ thấy ảo ảnh cuộc gọi trực tiếp, sau đó ngay lập tức hiển thị thông báo lỗi. Thông báo này yêu cầu người dùng tải xuống Bộ công cụ Phát triển Phần mềm (SDK) Zoom hoặc Teams để tiếp tục cuộc gọi.

• Trên macOS, nhấp vào 'Cập nhật ngay' sẽ tải xuống AppleScript độc hại.
• Trên Windows, kẻ tấn công sử dụng kỹ thuật ClickFix để thực thi lệnh PowerShell.
• Mọi tương tác với trang web giả mạo đều bị theo dõi, cho phép kẻ tấn công theo dõi hành vi của nạn nhân.

Kể từ đó, chiến dịch đã mở rộng từ Zoom sang Microsoft Teams, sử dụng các bản tải xuống SDK của TeamsFx để tiếp tục chuỗi lây nhiễm.

Chuỗi phần mềm độc hại và lây nhiễm

Bất kể nền tảng nào, AppleScript đều cài đặt các ứng dụng Zoom hoặc Teams giả mạo và tải xuống DownTroy, thu thập mật khẩu từ các trình quản lý mật khẩu và cài đặt thêm phần mềm độc hại với quyền root. GhostCall tận dụng tám chuỗi tấn công riêng biệt, bao gồm:

ZoomClutch / TeamsClutch – Phần mềm cấy ghép dựa trên Swift ngụy trang thành Zoom hoặc Teams; nhắc nhở mật khẩu hệ thống để thoát ra ngoài.

DownTroy v1 – Dropper dựa trên Go khởi chạy DownTroy dựa trên AppleScript để tải xuống các tập lệnh bổ sung cho đến khi khởi động lại.

CosmicDoor – Trình tải C++ (GillyInjector) chèn cửa hậu Nim; có khả năng xóa sạch tập tin; tải xuống SilentSiphon.

RooTroy – Trình tải Nimcore chèn cửa hậu Go để trinh sát thiết bị và thực thi phần mềm độc hại.

RealTimeTroy – Trình tải Nimcore chèn Go backdoor; giao tiếp qua giao thức WSS để kiểm soát tệp và hệ thống.

SneakMain – Tải trọng Nim được thực thi thông qua trình tải Nimcore để chạy các lệnh AppleScript bổ sung.

DownTroy v2 – Trình dropper CoreKitAgent khởi chạy DownTroy dựa trên AppleScript (NimDoor) để truy xuất các tập lệnh bổ sung.

SysPhon – trình tải xuống C++ từ dòng RustBucket; được sử dụng để trinh sát và truy xuất nhị phân.

Ngoài ra, SilentSiphon còn thu thập dữ liệu nhạy cảm từ:

• Apple Notes, Telegram, tiện ích mở rộng trình duyệt web, trình quản lý mật khẩu
• Nền tảng dành cho nhà phát triển và đám mây: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai, Linode, DigitalOcean, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp
• Nền tảng chuỗi khối: Sui, Solana, NEAR, Aptos, Algorand
• Công cụ hệ thống: Docker, Kubernetes, OpenAI

Do thám thông qua các cuộc họp bịa đặt

Nguồn cấp video trong các cuộc họp giả mạo đã được kẻ tấn công ghi lại, trong khi ảnh đại diện của người tham gia được lấy từ các mạng lưới chuyên nghiệp như LinkedIn, Crunchbase hoặc X (Twitter). Một số hình ảnh đã được tăng cường bằng GPT-4o, tăng thêm tính chân thực cho thủ đoạn tấn công kỹ thuật xã hội.

GhostCall là ví dụ điển hình cho sự phát triển của các mối đe dọa mạng nhắm vào các giám đốc điều hành trong lĩnh vực Web3 và đầu tư mạo hiểm, kết hợp kỹ thuật tấn công mạng xã hội tiên tiến, phần mềm độc hại đa nền tảng và các kỹ thuật thu thập dữ liệu tinh vi. Sự cảnh giác và phòng thủ nhiều lớp là rất quan trọng để chống lại các chiến dịch liên quan đến Triều Tiên này.