Home / マルウェア / ブルーノロフ、Web3開発者狙う偽投資と採用でマルウェア拡散

ブルーノロフ、Web3開発者狙う偽投資と採用でマルウェア拡散

2025年10月30日

出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs

ブルーノロフによるWeb3開発者狙いのマルウェア拡散キャンペーン「SnatchCrypto」

サイバー攻撃グループ「BlueNoroff」(別名:Sapphire Sleet、APT38)は、Web3やブロックチェーン業界の開発者や経営層を標的にした巧妙なマルウェア拡散キャンペーン「SnatchCrypto」を展開しています。2025年4月以降、特に「GhostCall」と「GhostHire」という2つの悪質な攻撃手法が確認されており、macOSやWindowsユーザーを狙った高度な手口が明らかになりました。

主要なポイント

  • 攻撃グループとターゲット:BlueNoroffはWeb3/ブロックチェーン業界の開発者、Cレベル経営者、マネージャーを中心に狙い、特にmacOSユーザーを標的としています。
  • GhostCallキャンペーン:Telegram経由で接触し、ZoomやMicrosoft Teamsを模した偽のオンライン会議を開催。被害者に偽のアップデートファイルを実行させてマルウェア感染を誘導します。
  • GhostHireキャンペーン:GitHubの偽スキル評価ページに誘導し、マルウェアをダウンロード・実行させる手口でWeb3開発者を狙います。
  • 高度な技術利用:AI技術を活用し攻撃の効率化と精緻化を実現。さらにmacOSのTCC(透明性・同意・制御)バイパスやWindowsの「ClickFix」技術など、多様な手法で感染を拡大しています。
  • 被害拡大の実態:偽会議映像は他の被害者の録画を流用し、被害者同士が連鎖的に騙される構造。攻撃者はリアルタイムで被害者の操作を監視し、感染成功率を高めています。

技術的な詳細と背景

GhostCallでは、Telegramを通じてターゲットに接触し、ZoomやMicrosoft TeamsのUIを模した偽サイトでオンライン会議を開催します。会議参加者の映像は他の被害者の実際の録画映像を流用しており、ディープフェイク技術は使われていません。被害者には「Zoom SDKアップデート」と称したAppleScriptファイルをダウンロード・実行させ、macOS上で偽のアップデートアプリをインストールさせます。

この偽アップデートはmacOSのTCC(Transparency, Consent, and Control)機能をバイパスし、ユーザーの同意なしにカメラやマイク、ファイルアクセスの権限を取得します。これにより、パスワード管理アプリ(Bitwarden、LastPassなど)、ノートアプリ、Telegramのデータを盗み出すことが可能になります。

Windows版では「ClickFix」と呼ばれる技術を用い、クリップボードに悪意あるコードを挿入するなど、多段階の感染チェーンが7種類以上確認されています。攻撃手法は進化しており、ZoomからMicrosoft TeamsへのUI模倣への移行も観察されています。

影響と重要性

この攻撃はWeb3やブロックチェーン業界の中核を担う開発者や経営層を狙っているため、業界全体の信頼性と安全性に深刻な影響を及ぼします。特にmacOSユーザーが主な標的であることから、Apple製品のセキュリティ対策の重要性が再認識されます。

また、被害者同士の映像を悪用した連鎖的な騙しの手法や、リアルタイムで操作を監視し感染率を高める攻撃者の高度な戦術は、今後のサイバー攻撃のトレンドを示唆しています。Microsoftや複数のセキュリティ企業もこの問題に注目しており、業界全体での警戒が必要です。

推奨される対策

  • Telegramなどのメッセージングアプリでの不審な投資や採用関連の接触には十分注意する。
  • ZoomやMicrosoft Teamsのアップデートは必ず公式サイトや公式アプリから直接行うこと。
  • 不審なリンクやファイルは絶対にクリック・実行しない。
  • macOSのTCC設定を定期的に監視し、不審な権限変更がないか確認する。
  • パスワード管理アプリやノートアプリのデータ保護を強化し、多要素認証の導入を検討する。
  • セキュリティベンダーの最新情報を常にチェックし、迅速に対応策を講じる。

まとめ

BlueNoroffによる「SnatchCrypto」キャンペーンは、Web3業界の重要人物を狙った高度で巧妙なマルウェア拡散攻撃です。偽のオンライン会議やGitHubの偽スキル評価を利用し、macOSやWindowsユーザーに感染を広げています。特にmacOSのTCCバイパスやリアルタイム監視など、技術的に高度な手法が用いられているため、業界関係者は警戒を強める必要があります。

攻撃は進化を続けており、公式アップデートの確認や不審なファイルの実行回避など基本的なセキュリティ対策の徹底が重要です。今後も最新の情報収集と対策強化を怠らないことが、被害を防ぐ鍵となるでしょう。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です