Home / マルウェア / ブルーノロフ、Web3開発者狙う偽投資会議と採用詐欺攻撃を展開

ブルーノロフ、Web3開発者狙う偽投資会議と採用詐欺攻撃を展開

2025年10月30日

出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs

Web3開発者を狙うブルーノロフの偽投資会議と採用詐欺攻撃

サイバー攻撃グループ「BlueNoroff(ブルーノロフ)」は、Web3やブロックチェーン業界の開発者や経営層を標的にした巧妙な詐欺キャンペーンを展開しています。特に2023年から2025年にかけて、「GhostCall」と「GhostHire」という2つの攻撃手法が確認され、macOSユーザーを中心に被害が拡大しています。

主要なポイント

  • BlueNoroffの狙いと活動:主に金銭目的で、Web3開発者や経営層を対象にした「SnatchCrypto」作戦を実施。2025年には「GhostCall」と「GhostHire」という2つの悪意あるキャンペーンを調査。
  • GhostCallの手口:Telegramを起点に偽のZoom会議へ誘導。実際の被害者の録画映像を使い、リアルな通話を装って信頼を獲得し、AppleScriptを使ったマルウェアを実行させる。
  • GhostHireの手口:GitHubリポジトリのスキル評価を偽装し、Web3開発者にマルウェアをダウンロード・実行させる採用詐欺攻撃。
  • AI技術の活用:攻撃の精度と効率を高めるためにAIを活用し、攻撃手法の進化と多様化を促進。
  • 攻撃対象のシフト:当初はWindowsユーザーを狙っていたが、現在はmacOSユーザー、特に経営層や技術系企業の関係者に焦点を当てている。

技術的な詳細と背景

GhostCallキャンペーンは、Telegramでの接触から始まり、Calendlyで偽の会議を設定し、被害者を偽Zoomサイトに誘導します。この偽サイトでは、実際の被害者の録画映像を流用してリアルな通話を装います。被害者は「Zoom SDKアップデート」と称するAppleScript(Zoom SDK Update.scpt)をダウンロードし実行しますが、このスクリプトは約1万行の空白で悪意あるコードを隠し、curlコマンドで追加の悪意あるスクリプトを取得します。

macOS 11以降では、偽ZoomやMicrosoft Teamsアプリを一時ディレクトリ(/tmp)にインストールし、パスワード入力を促すポップアップを表示。macOSのプライバシー管理機能であるTCC(Transparency, Consent, and Control)を巧妙にバイパスし、AppleEventsや重要フォルダへのアクセス権を不正に取得します。これにより、パスワード管理アプリ(Bitwarden、LastPassなど)、メモアプリ、Telegramのデータを収集可能にしています。

さらに、複数の多段階感染チェーンやキーロガー、情報窃取ツール(ステーラー)を組み合わせており、Windows環境ではClickFix技術を用いてクリップボードに悪意あるコードを仕込む手口も確認されています。

影響と重要性

  • Web3やブロックチェーン業界の開発者やCレベル経営者、マネージャーが主な標的であり、業界全体の信頼性に影響を与える可能性があります。
  • macOSを利用する技術系企業の経営層やベンチャーキャピタル関係者も被害に遭いやすく、企業の機密情報や資金が危険にさらされます。
  • TelegramやGitHubを利用するユーザーは、日常的に利用するプラットフォームを通じて攻撃を受けるため、注意が必要です。
  • パスワード管理アプリやメモアプリを使用しているユーザーは、これらの重要な情報が窃取されるリスクが高まります。
  • 攻撃者は被害者の録画映像を流用しており、ディープフェイクではないものの、非常にリアルな偽通話を実現している点が特徴的です。

まとめと推奨対策

BlueNoroffによるGhostCallおよびGhostHireキャンペーンは、巧妙な偽装と高度な技術を駆使し、Web3業界を中心に多くの被害をもたらしています。特にmacOSユーザーは、偽の会議招待や不審なファイルの実行に細心の注意を払う必要があります。

  • TelegramやCalendlyなどのプラットフォームで受け取る招待やリンクは慎重に確認し、不審なものは開かない。
  • ZoomやMicrosoft Teamsのアップデートは必ず公式サイトや正規のアプリから行うこと。
  • AppleScriptやZIPファイルなど、不明なファイルの実行は避ける。
  • macOSのTCC設定やAppleEventsの権限管理を厳格に行い、不要なアクセス権を与えない。
  • パスワード管理アプリや重要データは定期的にバックアップし、多要素認証(MFA)を導入する。
  • 最新のセキュリティ情報を常にチェックし、検知ツールやアンチウイルスソフトを活用する。
  • 社内でのセキュリティ教育を強化し、フィッシングやソーシャルエンジニアリング攻撃への理解を深めることが重要です。

今後も攻撃手法は進化し続けるため、最新の情報収集と対策の継続が求められます。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です