Северокорейские группировки проводят две целенаправленные кампании против секторов Web3 и блокчейна под кодовыми названиями GhostCall и GhostHire. Вредоносные кампании включены в операцию SnatchCrypto, которая продолжается с 2017 года.
GhostCall преимущественно направлен на пользователей macOS среди руководителей технологической отрасли и представителей венчурного капитала. Хакеры используют платформы вроде Telegram для прямой связи с потенциальными жертвами, предлагая им участие в инвестиционных встречах, перенаправляя их на фишинговые веб-сайты, имитирующие Zoom.
В ходе фальшивого звонка жертва слышит реальные аудиозаписи предыдущих жертв, а не дипфейковые голоса. После завершения звонка пользователю предлагают обновить клиента Zoom посредством специального скрипта. Этот сценарий ведет к скачиванию ZIP-файлов, запускающих процесс заражения.
Злоумышленники устанавливают контакт с возможными целями, например, разработчиками Web3. Они убеждают жертв скачать и запустить вредоносный файл из репозитория GitHub под видом проверки профессиональных навыков в ограниченный срок, увеличивая шансы на успешное заражение.
Ранее группировка использовала вредоносные программы типа KANDYKORN, ObjCShellz и TodoSwift, которые теперь продолжают применяться в новых операциях.
Анализ показывает, что обе атаки имеют общие черты: использование социальной инженерии и поддельных платформ. Инциденты подчеркивают необходимость повышенного уровня бдительности и осведомленности среди сотрудников организаций, работающих в сфере технологий и финансов.
При попадании на поддельные страницы Zoom пользователи сталкиваются с искусственно созданной страницей, создающей видимость реального телефонного звонка. Однако спустя всего три-пять секунд отображается сообщение об ошибке, которое призывает участников загрузить пакет разработчика Zoom (SDK), якобы необходимый для исправления возникшей проблемы с подключением.
Если участник нажимает кнопку «Обновить сейчас», на его устройство устанавливается вредоносный файл формата AppleScript. В случае, когда жертвой является пользователь Windows, применяется специальная техника ClickFix, позволяющая скопировать и исполнить команду PowerShell.
Все взаимодействия жертвы с подделанной веб-страницей фиксируются и передаются преступникам, помогая отслеживать ход действий. Исследования показали, что недавно злоумышленники начали переключаться с сервиса Zoom на Microsoft Teams, применяя аналогичную схему для распространения вредоносного пакета TeamsFx SDK, инициируя таким образом новый цикл заражения.
AppleScript предназначается для инсталляции подложного приложения, замещающего настоящий клиент Zoom или Microsoft Teams. Дополнительно он осуществляет загрузку другого компонента DownTroy, который проверяет менеджеров паролей и внедряет новое вредоносное программное обеспечение с административными привилегиями.
Программа DownTroy служит механизмом доставки множества полезных нагрузок в рамках восьми разных схем атак, одновременно обеспечивая способ обхода механизма контроля прозрачности, согласия и приватности (TCC) от Apple.
Примером является внедрение импланта ZoomClutch или TeamsClutch, основанного на языке Swift, который маскируется под официальное приложение, заставляя пользователя ввести системный пароль для мнимого обновления и отправляет полученные данные на сторонний сервер.
Исследование раскрывает комплексный характер атак GhostCall, демонстрирующий высокий уровень подготовки преступников и использование продвинутых техник социальной инженерии и многоэтапных атак для достижения своей цели — компрометации финансовых активов и конфиденциальных данных организаций.
SysPhon — это упрощённая версия инструмента RustBucket. Дополнена загрузчиком SUGARLOADER для распространения вредоносного ПО KANDYKORN. Сам SysPhon представляет собой разработанный на языке C++ загрузчик, способный осуществлять разведывательные мероприятия и получать доступ к бинарным файлам с внешнего ресурса.
Кроме того, инструмент SilentSiphon настроен на сбор информации из приложений Apple Notes, мессенджера Telegram, браузерных расширений, хранилищ паролей браузера и менеджера паролей. Еще он собирает секреты, содержащиеся в конфигурационных файлах: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AmazonWeb Services (AWS), GoogleCloud, Microsoft Azure, OracleCloud, AkamaiLinode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, блокчейны Sui, Solana, NEAR, Aptos, Algorand, а также сервисы Docker, Kubernetes и OpenAI.
Видео для фальсифицированных звонков было создано путем записей на специально сконструированных фишинговых страницах Zoom, тогда как фотографии участников виртуальных совещаний предположительно заимствовались с ресурсов для поиска работы или социальных сетей, таких как LinkedIn, Crunchbase или X. Некоторые из этих изображений подверглись обработке с применением технологии [OpenAI] GPT-4o, отметили аналитики «Лаборатории Касперского».
Кампания GhostHire стартовала в середине 2023 года. Злоумышленники вступали в контакт с потенциальными жертвами непосредственно через Telegram, предлагая работу и представляясь сотрудниками американских финансовых фирм, направляя ссылку на поддельный профиль в LinkedIn для придания видимости законности действиям.
После первого взаимодействия преступник добавляет жертву в базу пользователей специального Telegram-бота, демонстрирующего фальшивый корпоративный логотип другой фирмы и утверждающего, что ускоряет проверку технических навыков кандидата.
Далее бот рассылает жертве архивированный файл (формат ZIP), содержащий техническое задание по программированию, сопровождая его строгими временными рамками (обычно около 30 минут), вынуждая жертву оперативно приступить к выполнению задания. Такой метод создаёт условия, повышающие вероятность запуска жертвой вредоносного содержимого, приводящего к начальной компрометации её системы.
Проект сам по себе безвреден, однако содержит вредоносную библиотеку на языке программирования Go (например, модуль uniroute), загружаемую с GitHub, вследствие чего при запуске программы инициируется цепочка заражения. В зависимости от операционной системы отправляется соответствующий эксплойт второго уровня (например, DownTroy), настроенный на выполнение скриптов на PowerShell, bash или AppleScript.
Помимо DownTroy, при атаках на Windows применяются модули RooTroy, RealTimeTroy, Go-версия CosmicDoor и загрузчик Bof, написанный на Rust, используемый для расшифровки и исполнения скрытого shell-кода, расположенного в директории «C:\Windows\system32\».
Авторы угроз активно совершенствуют своё вредоносное ПО, ориентированное как на Windows, так и на macOS, применяя общую инфраструктуру управления и контроля. Использование технологий искусственного интеллекта существенно повысило эффективность разработки зловредов и снизило затраты ресурсов.
Злоумышленники расширяют свою стратегию сбора данных далеко за пределы простого хищения криптовалют и браузерных аккаунтов. После успешного проникновения они приступают к полному мониторингу инфраструктуры компании, включая средства коллективной работы, приложения для хранения заметок, среду разработки и коммуникации (мессенджеры), собирая обширный спектр конфиденциальной информации.
GhostCall преимущественно направлен на пользователей macOS среди руководителей технологической отрасли и представителей венчурного капитала. Хакеры используют платформы вроде Telegram для прямой связи с потенциальными жертвами, предлагая им участие в инвестиционных встречах, перенаправляя их на фишинговые веб-сайты, имитирующие Zoom.
В ходе фальшивого звонка жертва слышит реальные аудиозаписи предыдущих жертв, а не дипфейковые голоса. После завершения звонка пользователю предлагают обновить клиента Zoom посредством специального скрипта. Этот сценарий ведет к скачиванию ZIP-файлов, запускающих процесс заражения.
Злоумышленники устанавливают контакт с возможными целями, например, разработчиками Web3. Они убеждают жертв скачать и запустить вредоносный файл из репозитория GitHub под видом проверки профессиональных навыков в ограниченный срок, увеличивая шансы на успешное заражение.
Ранее группировка использовала вредоносные программы типа KANDYKORN, ObjCShellz и TodoSwift, которые теперь продолжают применяться в новых операциях.
Анализ показывает, что обе атаки имеют общие черты: использование социальной инженерии и поддельных платформ. Инциденты подчеркивают необходимость повышенного уровня бдительности и осведомленности среди сотрудников организаций, работающих в сфере технологий и финансов.
При попадании на поддельные страницы Zoom пользователи сталкиваются с искусственно созданной страницей, создающей видимость реального телефонного звонка. Однако спустя всего три-пять секунд отображается сообщение об ошибке, которое призывает участников загрузить пакет разработчика Zoom (SDK), якобы необходимый для исправления возникшей проблемы с подключением.
Если участник нажимает кнопку «Обновить сейчас», на его устройство устанавливается вредоносный файл формата AppleScript. В случае, когда жертвой является пользователь Windows, применяется специальная техника ClickFix, позволяющая скопировать и исполнить команду PowerShell.
Все взаимодействия жертвы с подделанной веб-страницей фиксируются и передаются преступникам, помогая отслеживать ход действий. Исследования показали, что недавно злоумышленники начали переключаться с сервиса Zoom на Microsoft Teams, применяя аналогичную схему для распространения вредоносного пакета TeamsFx SDK, инициируя таким образом новый цикл заражения.
AppleScript предназначается для инсталляции подложного приложения, замещающего настоящий клиент Zoom или Microsoft Teams. Дополнительно он осуществляет загрузку другого компонента DownTroy, который проверяет менеджеров паролей и внедряет новое вредоносное программное обеспечение с административными привилегиями.
Программа DownTroy служит механизмом доставки множества полезных нагрузок в рамках восьми разных схем атак, одновременно обеспечивая способ обхода механизма контроля прозрачности, согласия и приватности (TCC) от Apple.
Примером является внедрение импланта ZoomClutch или TeamsClutch, основанного на языке Swift, который маскируется под официальное приложение, заставляя пользователя ввести системный пароль для мнимого обновления и отправляет полученные данные на сторонний сервер.
Исследование раскрывает комплексный характер атак GhostCall, демонстрирующий высокий уровень подготовки преступников и использование продвинутых техник социальной инженерии и многоэтапных атак для достижения своей цели — компрометации финансовых активов и конфиденциальных данных организаций.
SysPhon — это упрощённая версия инструмента RustBucket. Дополнена загрузчиком SUGARLOADER для распространения вредоносного ПО KANDYKORN. Сам SysPhon представляет собой разработанный на языке C++ загрузчик, способный осуществлять разведывательные мероприятия и получать доступ к бинарным файлам с внешнего ресурса.
Кроме того, инструмент SilentSiphon настроен на сбор информации из приложений Apple Notes, мессенджера Telegram, браузерных расширений, хранилищ паролей браузера и менеджера паролей. Еще он собирает секреты, содержащиеся в конфигурационных файлах: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AmazonWeb Services (AWS), GoogleCloud, Microsoft Azure, OracleCloud, AkamaiLinode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, блокчейны Sui, Solana, NEAR, Aptos, Algorand, а также сервисы Docker, Kubernetes и OpenAI.
Видео для фальсифицированных звонков было создано путем записей на специально сконструированных фишинговых страницах Zoom, тогда как фотографии участников виртуальных совещаний предположительно заимствовались с ресурсов для поиска работы или социальных сетей, таких как LinkedIn, Crunchbase или X. Некоторые из этих изображений подверглись обработке с применением технологии [OpenAI] GPT-4o, отметили аналитики «Лаборатории Касперского».
Кампания GhostHire стартовала в середине 2023 года. Злоумышленники вступали в контакт с потенциальными жертвами непосредственно через Telegram, предлагая работу и представляясь сотрудниками американских финансовых фирм, направляя ссылку на поддельный профиль в LinkedIn для придания видимости законности действиям.
После первого взаимодействия преступник добавляет жертву в базу пользователей специального Telegram-бота, демонстрирующего фальшивый корпоративный логотип другой фирмы и утверждающего, что ускоряет проверку технических навыков кандидата.
Далее бот рассылает жертве архивированный файл (формат ZIP), содержащий техническое задание по программированию, сопровождая его строгими временными рамками (обычно около 30 минут), вынуждая жертву оперативно приступить к выполнению задания. Такой метод создаёт условия, повышающие вероятность запуска жертвой вредоносного содержимого, приводящего к начальной компрометации её системы.
Проект сам по себе безвреден, однако содержит вредоносную библиотеку на языке программирования Go (например, модуль uniroute), загружаемую с GitHub, вследствие чего при запуске программы инициируется цепочка заражения. В зависимости от операционной системы отправляется соответствующий эксплойт второго уровня (например, DownTroy), настроенный на выполнение скриптов на PowerShell, bash или AppleScript.
Помимо DownTroy, при атаках на Windows применяются модули RooTroy, RealTimeTroy, Go-версия CosmicDoor и загрузчик Bof, написанный на Rust, используемый для расшифровки и исполнения скрытого shell-кода, расположенного в директории «C:\Windows\system32\».
Авторы угроз активно совершенствуют своё вредоносное ПО, ориентированное как на Windows, так и на macOS, применяя общую инфраструктуру управления и контроля. Использование технологий искусственного интеллекта существенно повысило эффективность разработки зловредов и снизило затраты ресурсов.
Злоумышленники расширяют свою стратегию сбора данных далеко за пределы простого хищения криптовалют и браузерных аккаунтов. После успешного проникновения они приступают к полному мониторингу инфраструктуры компании, включая средства коллективной работы, приложения для хранения заметок, среду разработки и коммуникации (мессенджеры), собирая обширный спектр конфиденциальной информации.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь