Onderzoekers onthullen GhostCall en GhostHire: de nieuwe malwareketens van BlueNoroff

Cyberbeveiliging
GhostCall and GhostHire

Er is waargenomen dat bedreigingsactoren verbonden met Noord-Korea zich richten op de Web3- en blockchain-sectoren als onderdeel van dubbele campagnes die worden gevolgd Spookoproep En GhostHire.

Volgens Kaspersky maken de campagnes deel uit van een bredere operatie genaamd SnatchCrypto die al sinds 2017 aan de gang is. De activiteit wordt toegeschreven aan een subcluster van de Lazarus Group genaamd BlueNoroff, ook bekend als APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (voorheen Copernicium) en Stardust Chollima.

De slachtoffers van de GhostCall-campagne omvatten verschillende geïnfecteerde macOS-hosts in Japan, Italië, Frankrijk, Singapore, Turkije, Spanje, Zweden, India en Hong Kong, terwijl Japan en Australië zijn geïdentificeerd als de belangrijkste jachtgebieden voor de GhostHire-campagne.

“GhostCall richt zich zwaar op de macOS-apparaten van leidinggevenden bij technologiebedrijven en in de durfkapitaalsector door doelen rechtstreeks te benaderen via platforms als Telegram en potentiële slachtoffers uit te nodigen voor investeringsgerelateerde bijeenkomsten die zijn gekoppeld aan Zoom-achtige phishing-websites”, aldus Kaspersky-onderzoekers Sojun Ryu en Omar Amin.

“Het slachtoffer zou deelnemen aan een nepoproep met echte opnames van de andere daadwerkelijke slachtoffers van deze dreiging in plaats van deepfakes. De oproep verloopt soepel en moedigt vervolgens de gebruiker aan om de Zoom-client bij te werken met een script. Uiteindelijk downloadt het script ZIP-bestanden die resulteren in infectieketens die op een geïnfecteerde host worden ingezet.”

Aan de andere kant houdt GhostHire in dat potentiële doelwitten, zoals Web3-ontwikkelaars, op Telegram worden benaderd en hen ertoe worden verleid een GitHub-repository met boobytraps te downloaden en uit te voeren, onder het voorwendsel dat ze binnen 30 minuten na het delen van de link een vaardigheidsbeoordeling moeten voltooien, om zo een hoger succespercentage van infecties te garanderen.

Eenmaal geïnstalleerd, is het project ontworpen om een ​​kwaadaardige lading naar het systeem van de ontwikkelaar te downloaden op basis van het gebruikte besturingssysteem. Het Russische cybersecuritybedrijf zei dat het de twee campagnes sinds april 2025 in de gaten houdt, hoewel wordt aangenomen dat GhostCall sinds medio 2023 actief is, waarschijnlijk na de RustBucket-campagne.

RustBucket markeerde de belangrijkste spil van het vijandige collectief om zich op macOS-systemen te richten, waarna andere campagnes malwarefamilies als KANDYKORN, ObjCSellz en TodoSwift hebben ingezet.

Het is vermeldenswaard dat verschillende aspecten van de activiteit het afgelopen jaar uitgebreid zijn gedocumenteerd door meerdere beveiligingsleveranciers, waaronder Microsoft, Huntress, Field Effect, Huntabil.IT, Validin en SentinelOne.

De GhostCall-campagne

Doelwitten die op de valse Zoom-pagina’s terechtkomen als onderdeel van de GhostCall-campagne, krijgen aanvankelijk een valse pagina te zien die de illusie wekt van een live oproep, om drie tot vijf seconden later een foutmelding weer te geven, waarin hen wordt aangespoord een Zoom-softwareontwikkelingskit (SDK) te downloaden om een ​​vermeend probleem met het voortzetten van de oproep op te lossen.

Mochten de slachtoffers in de val lopen en proberen de SDK bij te werken door op de optie “Nu bijwerken” te klikken, dan leidt dit tot het downloaden van een kwaadaardig AppleScript-bestand op hun systeem. In het geval dat het slachtoffer een Windows-machine gebruikt, maakt de aanval gebruik van de ClickFix-techniek om een ​​PowerShell-opdracht te kopiëren en uit te voeren.

In elke fase wordt elke interactie met de nepsite geregistreerd en aan de aanvallers doorgegeven om de acties van het slachtoffer te volgen. Vorige maand nog werd waargenomen dat de bedreigingsacteur overstapte van Zoom naar Microsoft Teams, waarbij hij dezelfde tactiek gebruikte om gebruikers te misleiden om deze keer een TeamsFx SDK te downloaden om de infectieketen te activeren.

Ongeacht de aantrekkingskracht die wordt gebruikt, is AppleScript ontworpen om een ​​nep-applicatie te installeren, vermomd als Zoom of Microsoft Teams. Het downloadt ook een ander AppleScript, DownTroy genaamd, dat opgeslagen wachtwoorden controleert die verband houden met wachtwoordbeheertoepassingen en aanvullende malware met rootrechten installeert.

DownTroy is op zijn beurt ontworpen om verschillende payloads te laten vallen als onderdeel van acht verschillende aanvalsketens, terwijl het ook het Transparency, Consent, and Control (TCC)-framework van Apple omzeilt –

  • ZoomClutch of TeamsClutch, dat een Swift-gebaseerd implantaat gebruikt dat zich voordoet als Zoom of Teams en tegelijkertijd functionaliteit biedt om de gebruiker te vragen zijn systeemwachtwoord in te voeren om de app-update te voltooien en de details naar een externe server te exfiltreren
  • DownTroy v1, dat een op Go gebaseerde dropper gebruikt om de op AppleScript gebaseerde DownTroy-malware te starten, die vervolgens verantwoordelijk is voor het downloaden van extra scripts van de server totdat de machine opnieuw wordt opgestart.
  • CosmicDoor, dat een C++ binaire lader genaamd GillyInjector (ook bekend als InjectWithDyld) gebruikt om een ​​goedaardige Mach-O-app uit te voeren en er tijdens runtime een kwaadaardige lading in te injecteren. Wanneer het wordt uitgevoerd met de vlag –d, activeert GillyInjector zijn destructieve mogelijkheden en wist het onherroepelijk alle bestanden in de huidige map. De geïnjecteerde payload is een in Nim geschreven achterdeur genaamd CosmicDoor die kan communiceren met een externe server om opdrachten te ontvangen en uit te voeren. Er wordt aangenomen dat de aanvallers eerst een Go-versie van CosmicDoor voor Windows ontwikkelden, voordat ze overstapten op de varianten Rust, Python en Nim. Het downloadt ook een bash-script-stealer-suite genaamd SilentSiphon.
  • RooTroy, dat Nimcore loader gebruikt om GillyInjector te starten, die vervolgens een Go-backdoor injecteert genaamd RooTroy (ook bekend als Root Troy V4) om apparaatinformatie te verzamelen, lopende processen op te sommen, de payload van een specifiek bestand te lezen en extra malware te downloaden (RealTimeTroy meegerekend) en deze uit te voeren.
  • RealTimeTroy, dat de Nimcore-lader gebruikt om GillyInjector te starten, die vervolgens een Go-backdoor injecteert, RealTimeTroy genaamd, die communiceert met een externe server met behulp van het WSS-protocol om bestanden te lezen/schrijven, directory- en procesinformatie op te halen, bestanden te uploaden/downloaden, een specifiek proces te beëindigen en apparaatinformatie op te halen.
  • SneakMain, dat de Nimcore-lader gebruikt om een ​​Nim-payload genaamd SneakMain te starten om aanvullende AppleScript-commando’s te ontvangen en uit te voeren die zijn ontvangen van een externe server.
  • DownTroy v2, dat een dropper met de naam CoreKitAgent gebruikt om de Nimcore-lader te starten, die vervolgens het op AppleScript gebaseerde DownTroy (ook bekend als NimDoor) start om een ​​extra kwaadaardig script van een externe server te downloaden.
  • SysPhon, dat gebruik maakt van een lichtgewicht versie van RustBucket genaamd SysPhon en SUGARLOADER, een bekende lader die eerder de KANDYKORN-malware heeft afgeleverd. SysPhon, ook gebruikt in de Hidden Risk-campagne, is een downloader geschreven in C++ die verkenningen kan uitvoeren en een binaire payload van een externe server kan ophalen.

SilentSiphon is uitgerust om gegevens te verzamelen van Apple Notes, Telegram, webbrowserextensies, evenals inloggegevens van browsers en wachtwoordbeheerders, en geheimen die zijn opgeslagen in configuratiebestanden met betrekking tot een lange lijst met services: GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai Linode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, Sui Blockchain, Solana, NEAR Blockchain, Aptos Blockchain, Algorand, Docker, Kubernetes en OpenAI.

“Hoewel de videofeeds voor nepoproepen werden opgenomen via de verzonnen Zoom-phishingpagina’s die de acteur had gemaakt, lijken de profielafbeeldingen van deelnemers aan de vergadering afkomstig te zijn van banenplatforms of sociale mediaplatforms zoals LinkedIn, Crunchbase of X”, zei Kaspersky. “Interessant genoeg zijn sommige van deze afbeeldingen verbeterd met (OpenAI) GPT-4o.”

De GhostHire-campagne

De GhostHire-campagne, zo voegde het Russische cyberbeveiligingsbedrijf eraan toe, dateert ook van medio 2023, waarbij de aanvallers rechtstreeks via Telegram contact met de doelwitten initeerden en details van een baanaanbieding deelden, samen met een link naar een LinkedIn-profiel dat zich voordeed als recruiters bij financiële bedrijven in de VS, in een poging de gesprekken een laagje legitimiteit te geven.

“Na de eerste communicatie voegt de acteur het doelwit toe aan een gebruikerslijst voor een Telegram-bot, die het logo van het nagebootste bedrijf toont en valselijk beweert de technische beoordelingen voor kandidaten te stroomlijnen”, legt Kaspersky uit.

“De bot stuurt het slachtoffer vervolgens een archiefbestand (ZIP) met daarin een coderingsbeoordelingsproject, samen met een strikte deadline (vaak ongeveer 30 minuten) om het doelwit onder druk te zetten om de taak snel te voltooien. Deze urgentie vergroot de kans dat het doelwit de kwaadaardige inhoud uitvoert, wat leidt tot een initiële systeemcompromis.”

Het project op zichzelf is onschadelijk, maar bevat een kwaadaardige afhankelijkheid in de vorm van een kwaadaardige Go-module die wordt gehost op GitHub (bijvoorbeeld uniroute), waardoor de infectiesequentie wordt geactiveerd zodra het project is uitgevoerd. Dit omvat eerst het bepalen van het besturingssysteem van de computer van het slachtoffer en het leveren van een geschikte payload in de volgende fase (dwz DownTroy), geprogrammeerd in PowerShell (Windows), bash-script (Linux) of AppleScript (macOS).

Ook via DownTroy ingezet bij de aanvallen gericht op Windows zijn RooTroy, RealTimeTroy, een Go-versie van CosmicDoor en een op Rust gebaseerde lader genaamd Bof die wordt gebruikt voor het decoderen en starten van een gecodeerde shellcode-payload die is opgeslagen in de map “C:Windowssystem32”.

“Ons onderzoek wijst op een aanhoudende inspanning van de actor om malware te ontwikkelen die zich richt op zowel Windows- als macOS-systemen, georkestreerd via een uniforme command-and-control-infrastructuur”, aldus Kaspersky. “Het gebruik van generatieve AI heeft dit proces aanzienlijk versneld, waardoor een efficiëntere ontwikkeling van malware mogelijk is met verminderde operationele overhead.”

“De targetingstrategie van de actor is verder geëvolueerd dan eenvoudige diefstal van cryptocurrency en browsergegevens. Zodra ze toegang krijgen, voeren ze uitgebreide data-acquisitie uit over een reeks activa, waaronder infrastructuur, samenwerkingstools, notitietoepassingen, ontwikkelomgevingen en communicatieplatforms (messengers).”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Pixel Watch ontvangt update van oktober 2025 met beveiligingsoplossingen en bugverbeteringen

De ‘Dante’-malware richtte zich naar verluidt op Chrome-gebruikers via een zero-day-exploit

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]