Các nhà nghiên cứu an ninh mạng vừa phanh phui hai chiến dịch tấn công tinh vi mang tên GhostCall và GhostHire, được cho là do nhóm tin tặc BlueNoroff, một nhánh của Lazarus Group khét tiếng từ Bắc Triều Tiên, thực hiện. Nhóm này nhắm mục tiêu vào lĩnh vực Web3 và blockchain, với GhostCall tập trung vào người dùng macOS và GhostHire nhắm đến các nhà phát triển Web3.

GhostCall: Chiêu trò ‘họp online’ giả mạo

Chiến dịch GhostCall nhắm đến các lãnh đạo công nghệ và giới đầu tư mạo hiểm, sử dụng Telegram để dụ nạn nhân tham gia các cuộc họp đầu tư ‘ảo’ trên các trang web giả mạo Zoom. Nạn nhân sẽ nghe một đoạn ghi âm cuộc gọi thực tế thay vì deepfake, sau đó được yêu cầu cập nhật ứng dụng Zoom bằng một đoạn mã độc. Đoạn mã này tải về các tập tin ZIP chứa mã độc, xâm nhập vào hệ thống.

GhostHire: Bẫy việc làm ‘ảo’

GhostHire lại giăng bẫy các nhà phát triển Web3 bằng cách tiếp cận họ qua Telegram, mời họ tải xuống một kho lưu trữ GitHub chứa mã độc dưới vỏ bọc bài kiểm tra kỹ năng. Mục tiêu là tạo áp lực thời gian, khiến nạn nhân nhanh chóng thực thi mã độc.

Khi đã xâm nhập thành công, mã độc sẽ xác định hệ điều hành của nạn nhân và tải xuống các payload độc hại tương ứng. Các chuyên gia bảo mật đã theo dõi hai chiến dịch này từ tháng 4/2025, nhưng GhostCall có thể đã hoạt động từ giữa năm 2023, sau chiến dịch RustBucket.

Chi tiết kỹ thuật của GhostCall:

Khi truy cập vào trang web Zoom giả mạo, nạn nhân sẽ thấy một thông báo lỗi yêu cầu tải xuống bộ phát triển phần mềm (SDK) Zoom để khắc phục sự cố. Nếu sập bẫy, họ sẽ tải xuống một tệp AppleScript độc hại. Đối với máy Windows, kẻ tấn công sử dụng kỹ thuật ClickFix để sao chép và chạy lệnh PowerShell.

Mọi tương tác trên trang web giả mạo đều được ghi lại và gửi về máy chủ của kẻ tấn công. Gần đây, chúng đã chuyển sang sử dụng Microsoft Teams, dụ người dùng tải xuống TeamsFx SDK để kích hoạt chuỗi lây nhiễm.

AppleScript sẽ cài đặt một ứng dụng giả mạo Zoom hoặc Microsoft Teams, đồng thời tải xuống một AppleScript khác có tên DownTroy, kiểm tra mật khẩu được lưu trữ và cài đặt thêm mã độc với quyền root.

DownTroy có thể triển khai nhiều payload khác nhau thông qua tám chuỗi tấn công riêng biệt, đồng thời vượt qua các biện pháp bảo vệ của Apple:

• ZoomClutch/TeamsClutch: Ứng dụng Swift giả mạo Zoom/Teams, yêu cầu người dùng nhập mật khẩu hệ thống để ‘cập nhật’ và gửi thông tin này đến máy chủ bên ngoài.
• DownTroy v1: Sử dụng Go-based dropper để khởi chạy DownTroy, tải xuống các script bổ sung từ máy chủ cho đến khi máy được khởi động lại.
• CosmicDoor: Sử dụng C++ binary loader để chạy một ứng dụng Mach-O vô hại và chèn mã độc vào thời gian chạy. Khi chạy với cờ –d, nó sẽ xóa tất cả các tệp trong thư mục hiện tại. Payload được chèn là một backdoor viết bằng Nim, có thể giao tiếp với máy chủ bên ngoài để nhận và thực thi lệnh.
• RooTroy: Sử dụng Nimcore loader để khởi chạy GillyInjector, sau đó chèn backdoor Go có tên RooTroy để thu thập thông tin thiết bị, liệt kê các tiến trình đang chạy, đọc payload từ một tệp cụ thể và tải xuống/thực thi thêm mã độc.
• RealTimeTroy: Tương tự như RooTroy, nhưng sử dụng backdoor Go có tên RealTimeTroy, giao tiếp với máy chủ bên ngoài bằng giao thức WSS để đọc/ghi tệp, lấy thông tin thư mục và tiến trình, tải lên/xuống tệp, tắt tiến trình và lấy thông tin thiết bị.
• SneakMain: Sử dụng Nimcore loader để khởi chạy payload Nim, nhận và thực thi các lệnh AppleScript bổ sung từ máy chủ bên ngoài.
• DownTroy v2: Sử dụng dropper CoreKitAgent để khởi chạy Nimcore loader, sau đó khởi chạy DownTroy để tải xuống một script độc hại khác từ máy chủ bên ngoài.
• SysPhon: Sử dụng phiên bản rút gọn của RustBucket và SUGARLOADER để tải xuống payload từ máy chủ bên ngoài.

SilentSiphon thu thập dữ liệu từ Apple Notes, Telegram, các tiện ích mở rộng trình duyệt, thông tin đăng nhập từ trình duyệt và trình quản lý mật khẩu, cũng như các bí mật được lưu trữ trong các tệp cấu hình liên quan đến nhiều dịch vụ.

Chi tiết kỹ thuật của GhostHire:

Kẻ tấn công tiếp cận mục tiêu qua Telegram, chia sẻ thông tin về một lời mời làm việc cùng với liên kết đến hồ sơ LinkedIn giả mạo. Sau đó, họ thêm mục tiêu vào danh sách người dùng cho một bot Telegram, hiển thị logo của công ty giả mạo và tuyên bố hợp lý hóa các đánh giá kỹ thuật cho ứng viên.

Bot sẽ gửi cho nạn nhân một tệp ZIP chứa một dự án đánh giá mã, với thời hạn nghiêm ngặt để tạo áp lực. Dự án này có vẻ vô hại, nhưng chứa một dependency độc hại (Go module) được lưu trữ trên GitHub. Khi dự án được thực thi, nó sẽ xác định hệ điều hành của máy tính và cung cấp payload phù hợp (DownTroy) được lập trình bằng PowerShell (Windows), bash script (Linux) hoặc AppleScript (macOS).

Các payload khác được triển khai qua DownTroy bao gồm RooTroy, RealTimeTroy, phiên bản Go của CosmicDoor và Rust-based loader Bof để giải mã và khởi chạy một shellcode được mã hóa.

Các nhà nghiên cứu bảo mật nhận thấy rằng kẻ tấn công đã sử dụng AI tạo sinh để phát triển mã độc nhanh hơn và hiệu quả hơn. Mục tiêu của chúng không chỉ là đánh cắp tiền điện tử và thông tin đăng nhập trình duyệt, mà còn thu thập dữ liệu từ nhiều nguồn khác nhau, bao gồm cơ sở hạ tầng, công cụ cộng tác, ứng dụng ghi chú, môi trường phát triển và nền tảng liên lạc.

Giải thích thuật ngữ:

• Web3: Thế hệ thứ ba của internet, tập trung vào việc phân cấp, blockchain và tiền điện tử.
• Blockchain: Một sổ cái kỹ thuật số phân tán, an toàn và minh bạch, được sử dụng để ghi lại các giao dịch.
• Deepfake: Một kỹ thuật sử dụng trí tuệ nhân tạo để tạo ra các video hoặc âm thanh giả mạo trông rất thật.
• Payload: Phần độc hại của phần mềm độc hại, thực hiện các hành động gây hại cho hệ thống.
• Dropper: Một loại phần mềm độc hại được thiết kế để tải xuống và cài đặt các phần mềm độc hại khác.
• Backdoor: Một phương pháp bí mật để vượt qua các biện pháp bảo mật và truy cập vào hệ thống.
• Shellcode: Một đoạn mã nhỏ được sử dụng để khai thác lỗ hổng bảo mật trong phần mềm.
• AI tạo sinh (Generative AI): Một loại trí tuệ nhân tạo có thể tạo ra nội dung mới, chẳng hạn như văn bản, hình ảnh và âm thanh.