https://blog.qife122.com/tags/macos%E6%94%BB%E5%87%BB/ Recent content in MacOS攻击 on 办公AI智能小助手 Hugo zh-cn qife Sun, 11 Jan 2026 07:30:18 +0800 https://blog.qife122.com/p/%E6%8F%AD%E7%A7%98bluenoroff%E5%B9%BD%E7%81%B5%E8%A1%8C%E5%8A%A8ghostcall%E4%B8%8Eghosthire%E5%8F%8C%E7%BA%BF%E6%94%BB%E5%87%BB%E7%9A%84%E6%8A%80%E6%9C%AF%E5%86%85%E5%B9%95/ Sun, 11 Jan 2026 07:30:18 +0800 https://blog.qife122.com/p/%E6%8F%AD%E7%A7%98bluenoroff%E5%B9%BD%E7%81%B5%E8%A1%8C%E5%8A%A8ghostcall%E4%B8%8Eghosthire%E5%8F%8C%E7%BA%BF%E6%94%BB%E5%87%BB%E7%9A%84%E6%8A%80%E6%9C%AF%E5%86%85%E5%B9%95/ <h1 id="crypto-wasted-bluenoroffs-ghost-mirage-of-funding-and-jobs">Crypto wasted: BlueNoroff&rsquo;s ghost mirage of funding and jobs</h1> <p><strong>SAS</strong> 28 Oct 2025 51 minute read</p> <h2 id="目录">目录</h2> <ul> <li>引言</li> <li>GhostCall活动 <ul> <li>初始访问</li> <li>多阶段执行链 <ul> <li>ZoomClutch/TeamsClutch：伪造的Zoom/Teams应用</li> <li>DownTroy v1 感染链</li> <li>CosmicDoor 感染链</li> <li>SilentSiphon：窃密工具套件</li> <li>RooTroy 感染链</li> <li>RealTimeTroy 感染链</li> <li>SneakMain 感染链</li> <li>DownTroy v2 感染链</li> <li>SysPhon 感染链</li> </ul> </li> <li>人工智能驱动的攻击策略</li> </ul> </li> <li>GhostHire活动 <ul> <li>初始访问</li> <li>恶意Golang软件包</li> <li>恶意TypeScript项目</li> <li>DownTroy：多平台下载器</li> <li>Windows平台的完整感染链 <ul> <li>新的有效载荷投递方法</li> <li>UAC绕过</li> <li>Go语言编写的RooTroy.Windows</li> <li>Go语言编写的RealTimeTroy</li> <li>Go语言编写的CosmicDoor.Windows</li> <li>Rust语言编写的Bof加载器</li> </ul> </li> </ul> </li> <li>受害者</li> <li>归因</li> <li>结论</li> <li>危害指标</li> </ul> <h2 id="引言">引言</h2> <p>BlueNoroff（又名Sapphire Sleet、APT38、Alluring Pisces、Stardust Chollima和TA444）自出现以来主要专注于经济利益，随着时间推移采用了新的渗透策略和恶意软件集，但其作为SnatchCrypto行动的一部分，仍以区块链开发者、Web3/区块链行业的C级高管和经理为目标。今年早些时候，我们研究了BlueNoroff在SnatchCrypto行动下的两项恶意活动，分别命名为GhostCall和GhostHire。</p>