Home / サイバー犯罪 / ブルーノロフ、Web3開発者を狙う偽求人と偽投資会議の巧妙攻撃

ブルーノロフ、Web3開発者を狙う偽求人と偽投資会議の巧妙攻撃

2025年11月1日

出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs

ブルーノロフによるWeb3開発者を狙った巧妙な偽求人・偽投資会議攻撃の概要

サイバーセキュリティの専門家による最新調査で、ブルーノロフ(BlueNoroff)と呼ばれる高度持続的脅威(APT)グループが、Web3やブロックチェーン業界の開発者や経営層を標的にした巧妙な攻撃キャンペーンを展開していることが明らかになりました。特に偽のオンライン会議や採用プロセスを装った手口が特徴的で、macOSユーザーを中心に被害が拡大しています。

主要なポイント

  • BlueNoroffのSnatchCrypto作戦:2025年4月以降、GhostCallとGhostHireという2つの悪意あるキャンペーンを通じてWeb3業界を標的に。
  • GhostCallの攻撃手法:偽のZoom会議を用い、macOSの経営層にフィッシング攻撃を仕掛け、被害者の映像をリアルタイムで攻撃者に送信。
  • GhostHireの攻撃手法:Web3開発者にGitHubリポジトリ経由でマルウェアを配布し、採用過程を装って信頼を獲得。
  • AIの活用:攻撃の精度と効率を高めるためにAI技術を駆使し、被害者の警戒心を低減。
  • プラットフォームの移行:攻撃はZoomからMicrosoft Teamsへと段階的に移行している。

技術的な詳細と背景情報

GhostCallキャンペーンでは、Telegramを通じてターゲットに接触し、Calendlyで偽の会議を設定。被害者は偽のZoomサイトに誘導され、JavaScriptによりカメラ映像が1秒ごとに攻撃者サーバへ送信されます。会議中には「Zoom SDKアップデート」と称したAppleScriptファイル(Zoom SDK Update.scpt)がダウンロードされ、約1万行の空白で悪意あるコードが隠蔽されています。このスクリプトはcurlコマンドで次段階のマルウェアを取得し、macOS 11以降の環境では/tmpディレクトリに偽ZoomやTeamsアプリをインストール。パスワード入力を促すポップアップを表示し、macOSのTCC(Transparency, Consent, and Control)機能をバイパスしてAppleEventsやファイルアクセス権限を不正に付与します。

収集対象は暗号通貨ウォレット、Keychain(macOSのパスワード管理システム)、パッケージマネージャ、クラウドやDevOps関連情報、OpenAI APIキー、ブラウザやメッセンジャーの認証情報、Telegramデータなど多岐にわたります。Windows版ではClickFix技術を用いてクリップボードに悪意あるコードを挿入し、Beaconing機能で被害者の行動を追跡し攻撃の成功率を監視しています。

影響と重要性

この攻撃は特にWeb3やブロックチェーン業界の開発者、Cレベル経営者、マネージャーを標的としており、macOSユーザーが主な被害者ですが、Windowsユーザーも攻撃対象です。ベンチャーキャピタル関係者やスタートアップ創業者のアカウントも悪用されており、業界全体の信頼性と安全性に深刻な影響を及ぼしています。攻撃者が被害者の実映像を再利用する手法は、被害者の警戒心を効果的に低減し、被害拡大を助長しています。

推奨される対策

  • TelegramやCalendlyなどのプラットフォーム上での不審な招待やリンクに十分注意する。
  • ZoomやMicrosoft Teamsの公式アップデート以外のファイルは決して実行しない。
  • macOSのTCC設定を定期的に確認し、不審な権限付与がないか監査する。
  • 企業は従業員に対して偽のオンライン会議や採用プロセスに伴うマルウェアリスクについて教育を行う。
  • マルウェア検出ツールやEDR(Endpoint Detection and Response)を導入し、異常なAppleScriptや不審な通信を監視する。
  • 重要な認証情報やAPIキーは安全な管理方法を採用し、漏洩リスクを最小化する。

まとめ

BlueNoroffによるGhostCallおよびGhostHireキャンペーンは、Web3業界の発展を脅かす高度なサイバー攻撃の一例です。偽のオンライン会議や採用プロセスを巧みに利用し、macOSのセキュリティ機能をバイパスするなど技術的にも高度な手法が用いられています。業界関係者は最新の攻撃手法を理解し、適切な対策を講じることが不可欠です。今後も情報共有と警戒を怠らず、被害拡大の防止に努めましょう。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です