Home / サイバー犯罪 / ブルーノロフ、Web3開発者狙う「ゴーストコール」と「ゴーストハイヤー」攻撃を確認

ブルーノロフ、Web3開発者狙う「ゴーストコール」と「ゴーストハイヤー」攻撃を確認

2025年11月2日

出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs

Web3開発者を狙う新たなサイバー攻撃「ゴーストコール」と「ゴーストハイヤー」

サイバー攻撃グループBlueNoroff(別名Sapphire Sleet、APT38)は、Web3やブロックチェーン業界の開発者や経営層を標的にした高度な攻撃キャンペーン「GhostCall(ゴーストコール)」と「GhostHire(ゴーストハイヤー)」を展開しています。これらの攻撃は2023年から活動が確認されており、macOSユーザーを中心に被害が拡大しています。

主要なポイント

  • BlueNoroffの狙い:金融目的でWeb3関連の開発者や経営者を標的にし、偽のZoom会議やGitHubのスキル評価を装ったマルウェア感染を狙う。
  • GhostCallの手口:Telegram経由で偽のZoom会議に誘導し、AppleScriptを使ったマルウェアをmacOSに感染させる。実際の被害者の録画映像を悪用し、被害者を騙す高度な手法を採用。
  • GhostHireの手口:GitHubリポジトリを装い、Web3開発者にマルウェアを実行させることで情報窃取を狙う。
  • AIの活用:攻撃の効率化と精緻化にAI技術を利用し、被害者の行動をリアルタイムで追跡・監視。
  • 攻撃プラットフォームの変遷:当初はZoomを悪用していたが、現在はMicrosoft Teamsへと攻撃のプラットフォームを移行中。

技術的な詳細と背景

GhostCall攻撃では、被害者のブラウザに偽のZoom会議ページを表示し、過去に録画した被害者の映像を再生して信頼感を演出します。被害者には「Zoom SDKアップデート」と称したAppleScriptファイル(Zoom SDK Update.scpt)をダウンロード・実行させる手口が使われます。

AppleScriptはcurlコマンドを利用して追加の悪質スクリプトをダウンロードし、偽アプリをmacOSの「/private/tmp」ディレクトリにインストール。macOSのTCC(Transparency, Consent, and Control)というユーザー許可管理機能を巧みにバイパスし、カメラやマイク、ファイルアクセスなどの権限をユーザーの同意なしに取得します。

さらに、パスワード管理アプリ(Bitwarden、LastPassなど)、メモアプリ、Telegramのデータも窃取対象です。Windows版では「ClickFix」と呼ばれる技術を使い、クリップボードに悪質コードを仕込む手口も確認されています。

攻撃者は被害者の行動をHTTP GETリクエストで監視し、感染の成功率をリアルタイムで追跡しています。また、Calendlyを利用してミーティングをスケジュールし、被害者の信頼を得るソーシャルエンジニアリングも行われています。

影響と重要性

この攻撃は特にWeb3やブロックチェーン業界の開発者や経営層、ベンチャーキャピタル関係者、テック企業のマネージャーを狙っており、macOSユーザーが主な標的です。攻撃の高度化により、業界の重要な技術情報や資産が危険にさらされています。

また、実際の被害者の映像を悪用する手法は被害者の警戒心を下げ、感染リスクを高めるため、業界全体での警戒と対策強化が求められています。攻撃者がAIを駆使している点も、今後のサイバー攻撃のトレンドを示唆しています。

推奨される対策

  • TelegramなどのSNSやメッセージングアプリで送られてくる不審な投資や会議招待リンクは慎重に扱う。
  • ZoomやMicrosoft Teamsのアップデートは必ず公式サイトやアプリ内から行い、不明なアップデートファイルを実行しない。
  • AppleScriptや不明な実行ファイルのダウンロード・実行は避ける。
  • macOSのTCC設定や権限管理を定期的に確認し、不審な権限変更がないか監視する。
  • 企業は従業員に対してフィッシングやソーシャルエンジニアリングの教育を強化し、セキュリティ意識を高める。
  • セキュリティソフトやエンドポイント検知ツールを導入し、マルウェアの早期発見を目指す。

まとめ

BlueNoroffによる「GhostCall」と「GhostHire」攻撃は、Web3業界を狙った高度なサイバー攻撃の最新事例です。macOSを中心に巧妙な手口でマルウェア感染を狙い、AIを活用した効率的な攻撃が特徴です。被害を防ぐためには、不審なリンクやファイルの取り扱いに細心の注意を払い、組織全体でのセキュリティ対策と教育を強化することが不可欠です。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です