Финансово мотивированная группа BlueNoroff активизирует целевые атаки на блокчейн-компании через кампании GhostCall и GhostHire

Кампания GhostCall демонстрирует высокую степень технической изощренности. Злоумышленники напрямую контактируют с потенциальными жертвами через Telegram, представляясь венчурными инвесторами и предлагая обсудить возможности финансирования на онлайн-встрече. Ссылки ведут на фишинговые сайты, имитирующие интерфейс Zoom. После подключения жертва видит видеопотоки реальных людей, ранее пострадавших от этой же угрозы, что создает иллюзию участия в настоящей конференции. Через несколько секунд появляется сообщение о необходимости обновления Zoom SDK, что приводит к загрузке вредоносного AppleScript-файла на устройства macOS.

В кампании GhostHire атакующие используют иную тактику, выдавая себя за рекрутеров и предлагая разработчикам выполнить тестовое задание. После установления контакта и краткого собеседования жертву добавляют в Telegram-бота, который отправляет ZIP-архив с вредоносным репозиторием GitHub. Установленный 30-минутный дедлайн создает психологическое давление, побуждая быстро запустить проект, содержащий скрытую вредоносную нагрузку.

Технический анализ выявил семь многоэтапных цепочек заражения, развертываемых группой BlueNoroff. Среди них - CosmicDoor, RooTroy, SneakMain и несколько версий DownTroy, каждая из которых имеет модульную архитектуру и использует различные языки программирования, включая Nim, Go, Swift и AppleScript. Модульный подход позволяет разделять вредоносное поведение на компоненты, что затрудняет обнаружение средствами защиты.

Особого внимания заслуживает инструмент SilentSiphon - набор стилеров (stealer), который собирает чрезвычайно широкий спектр данных. Помимо стандартных целей вроде криптовалютных кошельков и браузерных учетных данных, злоумышленники извлекают информацию из менеджеров паролей, приложений для заметок, мессенджеров, облачных платформ и даже API-ключи OpenAI. Такой комплексный сбор данных позволяет атакующим получать доступ ко всей инфраструктуре жертвы, а не ограничиваться кражей финансовой информации.

Группа активно использует технологии искусственного интеллекта для повышения эффективности атак. В частности, обнаружены свидетельства применения GPT-4o для обработки изображений профилей жертв, создания убедительных аватаров и, вероятно, генерации вредоносных скриптов. ИИ также помогает в автоматизации социальной инженерии, позволяя злоумышленникам более убедительно выдавать себя за реальных лиц.

География атак охватывает несколько регионов, включая Японию, Италию, Францию, Сингапур, Турцию, Испанию, Швецию, Индию и Гонконг. Основными жертвами становятся руководители технологических и венчурных компаний, связанных с Web3 и блокчейн-технологиями, преимущественно из Азиатско-Тихоокеанского региона.

Атрибуция кампаний группе BlueNoroff основана на анализе инфраструктуры, методов атак и используемого вредоносного ПО, которые совпадают с предыдущими операциями этой группы. Финансовая мотивация остается основным драйвером активности BlueNoroff, однако расширение целевого спектра и усложнение тактик свидетельствуют об эволюции их операционных возможностей.

Эксперты отмечают, что сочетание традиционных методов социальной инженерии с современными технологиями, включая ИИ, позволяет группе проводить более целенаправленные и разрушительные операции. Рекомендуется усилить осведомленность сотрудников о подобных угрозах, особенно при взаимодействии с незнакомцами в мессенджерах, и внедрить многофакторную аутентификацию для критически важных систем.

Domains

• botsc.autoupdate.xyz
• check.datatabletemplate.shop
• dataupload.store
• download.datatabletemplate.xyz
• download.face-online.world
• filedrive.online
• first.system-update.xyz
• image-support.xyz
• instant-update.online
• pre.alwayswait.site
• readysafe.xyz
• real-update.xyz
• root.chkstate.online
• root.security-update.xyz
• safefor.xyz
• safeupload.online
• second.awaitingfor.online
• second.systemupdate.cloud
• secondshop.online
• secondshop.store
• signsafe.site
• signsafe.xyz
• system.updatecheck.store

URLs

• http://web071zoom.us/fix/audio/4542828056
• http://web071zoom.us/fix/audio-fv/7217417464
• http://web071zoom.us/fix/audio-tr/7217417464
• https://api.clearit.sbs/test
• https://api.clearit.sbs/uploadfiles
• https://api.flashstore.sbs/test
• https://api.flashstore.sbs/uploadfiles
• https://bots.autoupdate.online:8080/test
• https://chkactive.online/update
• https://cloud-server.store/update
• https://dataupload.store/uploadfiles
• https://filedrive.online/uploadfiles
• https://file-server.store/update
• https://flashserve.store/update
• https://metamask.awaitingfor.site/update
• https://safeup.store/test
• https://safeupload.online/uploadfiles
• https://support.ms-live.us/301631/check
• https://support.ms-live.us/register/22989524464UcX2b5w52
• https://support.ms-live.us/update/02583235891M49FYUN57
• https://urgent-update.cloud/uploadfiles
• https://writeup.live/test

WebSockets

• ws://first.longlastfor.online:8080/client
• ws://web.commoncome.online:8080/client
• wss://firstfromsep.online/client

MD5

• 00dd47af3db45548d2722fe8a4489508
• 01d3ed1c228f09d8e56bfbc5f5622a6c
• 0af11f610da1f691e43173d44643283f
• 0ca37675d75af0e7def0025cd564d6c5
• 10cd1ef394bc2a2d8d8f2558b73ac7b8
• 1243968876262C3AD4250E1371447B23
• 1653d75d579872fadec1f22cf7fee3c0
• 17baae144d383e4dc32f1bf69700e587
• 19a7e16332a6860b65e6944f1f3c5001
• 1ee10fa01587cec51f455ceec779a160
• 261a409946b6b4d9ce706242a76134e3
• 2c42253ebf9a743814b9b16a89522bef
• 31b88dd319af8e4b8a96fc9732ebc708
• 358c2969041c8be74ce478edb2ffcd19
• 389447013870120775556bb4519dba97
• 38c8d80dd32d00e9c9440a498f7dd739
• 3bbe4dfe3134c8a7928d10c948e20bee
• 50f341b24cb75f37d042d1e5f9e3e5aa
• 529fe6eff1cf452680976087e2250c02
• 5ad40a5fd18a1b57b69c44bc2963dc6b
• 5cb4f0084f3c25e640952753ed5b25d0
• 60bfe4f378e9f5a84183ac505a032228
• 6348b49f3499d760797247b94385fda3
• 6422795a6df10c45c1006f92d686ee7e
• 6aa93664b4852cb5bad84ba1a187f645
• 7168ce5c6e5545a5b389db09c90038da
• 73d26eb56e5a3426884733c104c3f625
• 7581854ff6c890684823f3aed03c210f
• 76ace3a6892c25512b17ed42ac2ebd05
• 7e50c3f301dd045eb189ba1644ded155
• 7f94ed2d5f566c12de5ebe4b5e3d8aa3
• 8006efb8dd703073197e5a27682b35bf
• 8f8942cd14f646f59729f83cbd4c357b
• 931cec3c80c78d233e3602a042a2e71b
• 9551b4af789b2db563f9452eaf46b6aa
• 963f473f1734d8b3fbb8c9a227c06d07
• a070b77c5028d7a5d2895f1c9d35016f
• a0eb7e480752d494709c63aa35ccf36c
• a26f2b97ca4e2b4b5d58933900f02131
• a6ce961f487b4cbdfe68d0a249647c48
• ab1e8693931f8c694247d96cf5a85197
• b2e9a6412fd7c068a5d7c38d0afd946f
• b567bfdaac131a2d8a23ad8fd450a31d
• c42c7a2ea1c2f00dddb0cc4c8bfb5bcf
• c446682f33641cff21083ac2ce477dbe
• c6f0c8d41b9ad4f079161548d2435d80
• d63805e89053716b6ab93ce6decf8450
• d8529855fab4b4aa6c2b34449cb3b9fb
• de93e85199240de761a8ba0a56f0088d
• e33f942cf1479ca8530a916868bad954
• e8680d17fba6425e4a9bb552fb8db2b1
• e9fdd703e60b31eb803b1b59985cabec
• eda0525c078f5a216a977bc64e86160a
• f1bad0efbd3bd5a4202fe740756f977a
• f1d2af27b13cd3424556b18dfd3cf83f
• f8bb2528bf35f8c11fbc4369e68c4038