GhostCallマルウェアキャンペーン
サイバーセキュリティ研究者らは、Web3およびブロックチェーン分野を標的とした高度な攻撃キャンペーン「GhostCall」を発見しました。この活動は、少なくとも2017年から活動している北朝鮮関連の広範な活動「SnatchCrypto」の一環です。この脅威は、Lazarus Group傘下のサブクラスター「BlueNoroff」によるものとされています。BlueNoroffは、APT38、CageyChameleon、CryptoCore、Genie Spider、Nickel Gladstone、Sapphire Sleet、Stardust Chollimaなど、複数の別名でも知られています。
このキャンペーンの被害者は、日本、イタリア、フランス、シンガポール、トルコ、スペイン、スウェーデン、インド、香港の複数の macOS ホストで特定されています。
目次
洗練されたソーシャルエンジニアリングとフィッシングの手法
GhostCallは、テクノロジー企業やベンチャーキャピタルの幹部のmacOSデバイスを特に狙っています。攻撃者はTelegramなどのプラットフォームを介して標的に直接連絡を取り、Zoomのようなフィッシングサイトで開催される投資関連の会議に招待します。
攻撃の主な側面:
- 被害者は、ディープフェイクではなく、他の被害者の本物の録音を含む偽の通話に参加します。
- 通話中に、悪意のあるスクリプトによって、ユーザーは Zoom または Teams を「更新」するように求められます。
- スクリプトは、ホスト上で多段階の感染チェーンを開始する ZIP ファイルをダウンロードします。
このキャンペーンは2023年半ばから活発化しており、おそらくRustBucketキャンペーンに続いて展開されたと考えられます。RustBucketキャンペーンは、このグループのmacOSを標的とした攻撃への戦略的転換を示しました。その後展開されたマルウェアファミリーには、KANDYKORN、ObjCShellz、TodoSwiftなどがあります。
偽のZoomとTeamsページ
GhostCallのフィッシングページにアクセスしたユーザーは、まずライブ通話の幻想を目にしますが、すぐにエラーメッセージが表示されます。このメッセージは、通話を続行するにはZoomまたはTeamsのソフトウェア開発キット(SDK)をダウンロードするよう促します。
- macOS では、「今すぐアップデート」をクリックすると悪意のある AppleScript がダウンロードされます。
- Windows では、攻撃者はClickFix テクニックを使用して PowerShell コマンドを実行します。
- 偽のサイトとのすべてのやり取りが追跡され、攻撃者は被害者の行動を監視できるようになります。
このキャンペーンはその後、Zoom から Microsoft Teams へと拡大し、TeamsFx SDK のダウンロードを使用して感染チェーンを継続しています。
マルウェアと感染チェーン
プラットフォームを問わず、このAppleScriptは偽のZoomアプリやTeamsアプリをインストールし、パスワードマネージャーからパスワードを収集し、ルート権限で追加のマルウェアをインストールするDownTroyをダウンロードします。GhostCallは、以下を含む8つの異なる攻撃チェーンを活用します。
ZoomClutch / TeamsClutch – Zoom または Teams を装った Swift ベースのインプラント。データの流出のためにシステム パスワードを要求します。
DownTroy v1 – Go ベースのドロッパーが AppleScript ベースの DownTroy を起動し、再起動するまで追加のスクリプトをダウンロードします。
CosmicDoor – C++ ローダー (GillyInjector) は Nim バックドアを挿入します。破壊的なファイル消去が可能で、SilentSiphon をダウンロードします。
RooTroy – Nimcore ローダーは、デバイスの偵察とマルウェア実行のために Go バックドアを挿入します。
RealTimeTroy – Nimcore ローダーは Go バックドアを挿入し、ファイルとシステムの制御のために WSS プロトコルを介して通信します。
SneakMain – Nimcore ローダーを介して実行される Nim ペイロードは、追加の AppleScript コマンドを実行します。
DownTroy v2 – CoreKitAgent ドロッパーは、AppleScript ベースの DownTroy (NimDoor) を起動して追加のスクリプトを取得します。
SysPhon – RustBucket 系の C++ ダウンローダー。偵察やバイナリの取得に使用されます。
さらに、SilentSiphon は次のものから機密データを収集します。
- Apple Notes、Telegram、ウェブブラウザ拡張機能、パスワードマネージャー
- 開発者およびクラウド プラットフォーム: GitHub、GitLab、Bitbucket、npm、Yarn、Python pip、RubyGems、Rust cargo、NET Nuget、AWS、Google Cloud、Microsoft Azure、Oracle Cloud、Akamai、Linode、DigitalOcean、Vercel、Cloudflare、Netlify、Stripe、Firebase、Twilio、CircleCI、Pulumi、HashiCorp
- ブロックチェーンプラットフォーム:Sui、Solana、NEAR、Aptos、Algorand
- システムツール: Docker、Kubernetes、OpenAI
偽造会議による偵察
偽の会議のビデオフィードは攻撃者によって録画され、参加者のプロフィール画像はLinkedIn、Crunchbase、X(Twitter)などのプロフェッショナルネットワークから取得されました。一部の画像はGPT-4oを使用して加工されており、ソーシャルエンジニアリングの策略にリアリティが加わっています。
GhostCallは、Web3およびベンチャーキャピタルの幹部を標的とするサイバー脅威の進化を象徴する事例であり、高度なソーシャルエンジニアリング、クロスプラットフォームマルウェア、そして洗練されたデータ収集技術を巧みに組み合わせています。北朝鮮に関連したこれらの攻撃に対抗するには、警戒と多層防御が不可欠です。
