由APT組織BlueNoroff發動的兩個攻擊活動,GhostCall和GhostHire主要針對加密貨幣業界的開發者和高階管理層,該組織一直以收益為主要目標,這次小心選擇並做足準備瞄準使用區塊鏈機構的僱員。
GhostCall
GhostCall主要針對不同機構的高階管理層,攻擊者嘗試以惡意程式感染他們的電腦盜竊加密貨幣、登入憑證和受害者工作上的機密,GhostCall以macOS為主平台,很大機會是因為現代公司的管理層偏好Apple的裝置。GhostCall以頗為精密的社交工程開始攻擊,偽裝成投資料(有時會以真實企業的被盜帳號,甚至進行視像通話),並且安排會面去討論合作或投資,目標是遊說受害者前往冒充Microsoft Teams或Zoom的網站,當中有一個標準的陷阱等待著,網站會顯示通知需要更新客端,又或者修復某些技術問題,因此要求受害者下載和執行檔案,從而導致感染電腦。
關於各種感染鏈的詳情(其中有4個是專家門首次遇見),以及IoC的資料可以瀏覽Securelist。
GhostHire
GhostHire則主要針對從事區域鏈相關工作的開發人員,最終目標是以惡意程式感染電腦,但操作有所不同,攻擊者以吸引招聘條件遊說受害者,在談判期間他們會給開發者Telegram機器人的地址,藉此向他們提供GitHub的測試任務連結,或提供壓縮包下載選項,為避免開發者有時間深入思考,任務的時間十分緊迫,在受害者做測試時他們的電腦已被惡意程式感染。
GhostHire活動中使用到的工具和IoC詳情可以瀏覽Securelist。
防範GhostCall和GhostHire
即使GhostCall和GhostHire特別針對開發者和公司管理層,攻擊者的主要目標是工作的基鍵設施,所以防護的責任便落任公司的IT保安專家肩上,與此同時也要定期提升公司僱員對現代攻擊的資安意識,並且按工作崗位,例如開發人員和管理層,準備合適的培訓。
資料來源:Kaspersky Blog
