GhostCall惡意軟體活動
網路安全研究人員發現了一項針對 Web3 和區塊鏈領域的複雜攻擊活動,該活動被追蹤為 GhostCall。這項行動是與北韓有關的名為 SnatchCrypto 的更廣泛計劃的一部分,該計劃至少從 2017 年就開始活躍。此次威脅歸因於 Lazarus Group 的子集群 BlueNoroff,該集群還有多個別名,包括 APT38、CageyChameleon、CryptoCore、Genie Spider、Nickel Gladstone、Sapphire Sleet 和 Stardust Chollima。
該攻擊活動的受害者已在日本、義大利、法國、新加坡、土耳其、西班牙、瑞典、印度和香港的多台 macOS 主機上被發現。
目錄
複雜的社會工程與網路釣魚技術
GhostCall 主要針對科技公司和創投公司高階主管的 macOS 設備。攻擊者透過 Telegram 等平台直接聯繫目標用戶,邀請他們參加在類似 Zoom 的釣魚網站上舉辦的投資相關會議。
攻擊的關鍵面向:
- 受害者接聽的虛假電話中包含的是其他受害者的真實錄音,而不是深度偽造的錄音。
- 通話過程中,惡意腳本會提示使用者「更新」Zoom或Teams。
- 該腳本下載 ZIP 文件,從而在宿主上啟動多階段感染鏈。
該攻擊活動自 2023 年年中開始活躍,很可能是在 RustBucket 攻擊活動之後,該活動標誌著該組織策略轉向以 macOS 為目標的攻擊。隨後部署的惡意軟體家族包括 KANDYKORN、ObjCShellz 和 TodoSwift。
欺騙性的虛假 Zoom 和 Teams 頁面
一旦目標用戶進入 GhostCall 釣魚頁面,最初會看到一個看似正在進行的通話,但很快就會觸發錯誤訊息。這些資訊提示使用者下載 Zoom 或 Teams 軟體開發工具包 (SDK) 才能繼續通話。
- 在 macOS 系統中,點擊「立即更新」會下載惡意 AppleScript 腳本。
- 在 Windows 系統中,攻擊者利用ClickFix 技術執行 PowerShell 指令。
- 攻擊者會追蹤使用者與虛假網站的每一次互動,從而監控受害者的行為。
活動隨後從 Zoom 擴展到 Microsoft Teams,利用 TeamsFx SDK 下載繼續傳播病毒。
惡意軟體和感染鏈
無論使用何種平台,AppleScript 都會安裝偽造的 Zoom 或 Teams 應用,並下載 DownTroy,後者會從密碼管理器中竊取密碼,並安裝具有 root 權限的其他惡意軟體。 GhostCall 利用八種不同的攻擊鏈,其中包括:
ZoomClutch / TeamsClutch – 基於 Swift 的植入程序,偽裝成 Zoom 或 Teams;提示輸入系統密碼以進行資料外洩。
DownTroy v1 – 基於 Go 的下載器啟動基於 AppleScript 的 DownTroy 來下載額外的腳本,直到重新啟動。
CosmicDoor – C++ 載入器 (GillyInjector) 注入 Nim 後門;能夠破壞性地擦除檔案;下載 SilentSiphon。
RooTroy – Nimcore 載入器注入 Go 後門,用於裝置偵察和惡意軟體執行。
RealTimeTroy – Nimcore 載入器注入 Go 後門;透過 WSS 協定進行檔案和系統控制通訊。
SneakMain – 透過 Nimcore 載入器執行的 Nim 有效載荷,用於運行額外的 AppleScript 命令。
DownTroy v2 – CoreKitAgent dropper 啟動基於 AppleScript 的 DownTroy (NimDoor) 來檢索其他腳本。
SysPhon – 源自 RustBucket 的 C++ 下載器;用於偵察和二進位檔案檢索。
此外,SilentSiphon也會從以下來源收集敏感資料:
- 蘋果備忘錄、Telegram、網頁瀏覽器擴充功能、密碼管理器
- 開發者與雲端平台:GitHub、GitLab、Bitbucket、npm、Yarn、Python pip、RubyGems、Rust cargo、.NET NuGet、AWS、Google Cloud、Microsoft Azure、Oracle Cloud、Akamai、Linode、DigitalOcean、Vercel、Cloudflare、Netlify、Stripe、Fkamai、Linode、DigitalOcean、Vercel、Cloudflare、Netlify、Stripe、Fkam
- 區塊鏈平台:Sui、Solana、NEAR、Aptos、Algorand
- 系統工具:Docker、Kubernetes、OpenAI
透過偽造會議進行偵察
假會議中的影片串流由攻擊者錄製,而與會者的個人資料圖片則來自 LinkedIn、Crunchbase 或 X(Twitter)等專業社群網路。部分圖片經過 GPT-4o 增強處理,讓社交工程騙局更具真實感。
GhostCall 事件體現了針對 Web3 和創投領域高階主管的網路威脅的演變,它結合了先進的社會工程、跨平台惡意軟體和複雜的資料竊取技術。保持警惕並採取多層防禦措施對於應對這些與北韓有關的攻擊至關重要。
