多许可证折扣报价
威胁数据库 恶意软件 GhostCall恶意软件活动

GhostCall恶意软件活动

通过Mezo恶意软件
翻译为:

网络安全研究人员发现了一项针对 Web3 和区块链领域的复杂攻击活动,该活动被追踪为 GhostCall。此次行动是与朝鲜有关联的名为 SnatchCrypto 的更广泛计划的一部分,该计划至少从 2017 年就开始活跃。此次威胁归因于 Lazarus Group 的子集群 BlueNoroff,该集群还有多个别名,包括 APT38、CageyChameleon、CryptoCore、Genie Spider、Nickel Gladstone、Sapphire Sleet 和 Stardust Chollima。

该攻击活动的受害者已在日本、意大利、法国、新加坡、土耳其、西班牙、瑞典、印度和香港的多台 macOS 主机上被发现。

复杂的社会工程和网络钓鱼技术

GhostCall 主要针对科技公司和风险投资公司高管的 macOS 设备。攻击者通过 Telegram 等平台直接联系目标用户,邀请他们参加在类似 Zoom 的钓鱼网站上举办的投资相关会议。

攻击的关键方面:

  • 受害者接听的虚假电话中包含的是其他受害者的真实录音,而不是深度伪造的录音。
  • 通话过程中,恶意脚本会提示用户“更新”Zoom或Teams。
  • 该脚本下载 ZIP 文件,从而在宿主上启动多阶段感染链。

该攻击活动自 2023 年年中开始活跃,很可能是在 RustBucket 攻击活动之后,该活动标志着该组织战略转向以 macOS 为目标的攻击。随后部署的恶意软件家族包括 KANDYKORN、ObjCShellz 和 TodoSwift。

欺骗性的虚假 Zoom 和 Teams 页面

目标用户一旦进入 GhostCall 钓鱼页面,最初会看到一个看似正在进行的通话,但很快就会触发错误信息。该信息提示用户下载 Zoom 或 Teams 软件开发工具包 (SDK) 才能继续通话。

  • 在 macOS 系统中,点击“立即更新”会下载恶意 AppleScript 脚本。
  • 在 Windows 系统中,攻击者利用ClickFix 技术执行 PowerShell 命令。
  • 攻击者会跟踪用户与虚假网站的每一次互动,从而监控受害者的行为。

该活动随后从 Zoom 扩展到 Microsoft Teams,利用 TeamsFx SDK 下载继续传播病毒。

恶意软件和感染链

无论使用何种平台,AppleScript 都会安装伪造的 Zoom 或 Teams 应用,并下载 DownTroy,后者会从密码管理器中窃取密码,并安装具有 root 权限的其他恶意软件。GhostCall 利用八种不同的攻击链,其中包括:

ZoomClutch / TeamsClutch – 基于 Swift 的植入程序,伪装成 Zoom 或 Teams;提示输入系统密码以进行数据外泄。

DownTroy v1 – 基于 Go 的下载器启动基于 AppleScript 的 DownTroy 来下载额外的脚本,直到重启。

CosmicDoor – C++ 加载器 (GillyInjector) 注入 Nim 后门;能够破坏性地擦除文件;下载 SilentSiphon。

RooTroy – Nimcore 加载器注入 Go 后门,用于设备侦察和恶意软件执行。

RealTimeTroy – Nimcore 加载器注入 Go 后门;通过 WSS 协议进行文件和系统控制通信。

SneakMain – 通过 Nimcore 加载器执行的 Nim 有效载荷,用于运行额外的 AppleScript 命令。

DownTroy v2 – CoreKitAgent dropper 启动基于 AppleScript 的 DownTroy (NimDoor) 来检索其他脚本。

SysPhon – 源自 RustBucket 的 C++ 下载器;用于侦察和二进制文件检索。

此外,SilentSiphon还会从以下来源收集敏感数据:

  • 苹果备忘录、Telegram、网页浏览器扩展程序、密码管理器
  • 开发者和云平台:GitHub、GitLab、Bitbucket、npm、Yarn、Python pip、RubyGems、Rust cargo、.NET NuGet、AWS、Google Cloud、Microsoft Azure、Oracle Cloud、Akamai、Linode、DigitalOcean、Vercel、Cloudflare、Netlify、Stripe、Firebase、Twilio、CircleCI、Pulumi、HashiCorp
  • 区块链平台:Sui、Solana、NEAR、Aptos、Algorand
  • 系统工具:Docker、Kubernetes、OpenAI

通过伪造会议进行侦察

虚假会议中的视频流由攻击者录制,而参会者的个人资料图片则来自 LinkedIn、Crunchbase 或 X(Twitter)等专业社交网络。部分图片经过 GPT-4o 增强处理,使社交工程骗局更具真实感。

GhostCall 事件体现了针对 Web3 和风险投资领域高管的网络威胁的演变,它结合了先进的社会工程学、跨平台恶意软件和复杂的数据窃取技术。保持警惕并采取多层防御措施对于应对这些与朝鲜有关的攻击至关重要。

趋势

DHL快递包裹错放骗局

网络钓鱼, 垃圾邮件
网络安全研究人员已警告公众,警惕名为“DHL快递包裹错放骗局”的欺骗性网络钓鱼活动。这些欺诈性电子邮件伪装成DHL发送的官方递送通知。这些邮件通常声称收件人必须验证地址或确认递送,以防止包裹错放。实际上,这些说法完全是虚假的——这些电子邮件与DHL或任何合法公司、组织或服务提供商均无关联。 这些诈骗邮件的主题通常都是“确认送达!”之类的字眼,以此来强调邮件的紧急性和真实性。邮件内容声称,最近的包裹问题已导致新的验证步骤,如果不执行验证步骤,可能会导致文件丢失或送达延迟。这种操纵手段旨在营造一种压力感,迫使收件人在不质疑邮件真实性的情况下点击嵌入的链接。 钓鱼网站和数据盗窃 这些欺诈邮件中的链接会将用户重定向到模仿 DHL 官方页面的钓鱼网站。一旦用户输入详细信息,信息就会被捕获并直接发送给诈骗者。这些虚假页面通常会要求用户提供电子邮件登录凭证、个人身份信息以及信用卡号等财务数据。...

热带延伸

可能不需要的程序, 浏览器劫持者
Tropical Extension 是一款可疑软件,网络安全专家在调查可疑网站时对其进行了详细审查。最初,它是一个有用的扩展,为用户提供了热带主题浏览器壁纸的吸引力。然而,经过安全专业人员的仔细检查,很明显 Tropical Extension 实际上是一个浏览器劫持者。 浏览器劫持者会在未经用户同意或不知情的情况下秘密更改用户的 Web 浏览器设置。就 Tropical...

LinkPro Linux Rootkit

Rootkit, 后门
最近,针对亚马逊网络服务 (AWS) 环境的入侵暴露了一个此前未记录的 GNU/Linux Rootkit,其被追踪为 LinkPro。该后门因其双重 eBPF 模块用途而引人注目:一组模块用于隐藏构件,另一组模块充当隐秘触发器——一种“敲击”机制,仅在检测到特制的 TCP 数据包后才会唤醒远程命令功能。攻击链和 Rootkit 的机制表明,攻击者技艺高超,他们巧妙地融合了容器滥用、内核级隐藏和灵活的网络激活技术,以规避检测和取证关联。 感染媒介和初始部署 此次入侵始于利用一个暴露的 Jenkins 实例,该实例存在 CVE-2024-23897(CVSS 9.8)漏洞。攻击者以此为据点,将一个恶意 Docker 镜像(kvlnt/vv,现已从 Docker Hub 中移除)推送到多个 Kubernetes 集群。该镜像基于 Kali Linux...

最受关注

如何修复“打印机驱动程序不可用”错误

问题
52,169
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...

Discord 卡在灰色屏幕上

问题
40,245
有时,在使用 Discord 应用程序时,用户可能会卡在灰色屏幕上。在流式传输或简单地加载应用程序时可能会出现此问题。如果您遇到这种情况并且想知道如何解决它,请尝试以下解决方案。 在屏幕模式之间切换 如果原因是视觉故障而不是更严重的问题,从一种屏幕模式切换到另一种屏幕模式,例如启用全屏模式或较小的屏幕选项,可以解决问题。按键盘上的 Ctrl+A 看看它是否有任何效果。 删除 Discord...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
38,208
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...
正在加载...