出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/
原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs
ブルーノロフによるWeb3開発者を狙った偽採用詐欺とZoom偽装攻撃の全貌
近年、Web3やブロックチェーン業界の発展に伴い、サイバー攻撃も高度化しています。特に、国家支援のサイバー犯罪グループ「BlueNoroff(ブルーノロフ)」が、Web3開発者や経営層を標的にした巧妙な偽採用詐欺やZoomを装った攻撃を展開していることが明らかになりました。本記事では、その攻撃手法や技術的背景、影響と対策について詳しく解説します。
主要なポイント
- BlueNoroffの「SnatchCrypto」作戦:2025年4月以降、Web3/ブロックチェーン業界の開発者や経営層を狙い、「GhostCall」と「GhostHire」という2つの悪質キャンペーンを実施。
- GhostCallのZoom偽装攻撃:macOSユーザーを主な標的とし、偽のZoom会議を介してマルウェアを感染させる。被害者の映像を録画・再利用する高度な心理的トリックを使用。
- GhostHireのGitHub経由攻撃:Web3開発者に偽の採用メッセージを送り、GitHubリポジトリを通じてマルウェアを感染させるリクルート詐称攻撃。
- AIの活用:攻撃の効率化と精緻化にAIを利用し、標的の行動を監視しながら攻撃成功率を高めている。
- macOSのセキュリティ機能バイパス:透明性・同意・制御(TCC)機能を不正に操作し、ユーザーの許可なしに重要データや機能へアクセス可能にしている。
技術的な詳細や背景情報
GhostCall攻撃では、まずTelegramを通じてターゲットに偽のZoom会議リンクを送付します。被害者がリンクをクリックすると、AppleScriptファイル(「Zoom SDK Update.scpt」)をダウンロード・実行させる仕組みです。このAppleScriptは約1万行の空白行で悪意あるコードを巧妙に隠蔽し、curlコマンドで次段階のスクリプトを取得します。
感染後、DownTroyと呼ばれるAppleScriptがパスワード管理アプリ、ノートアプリ、Telegramのデータを収集し、macOSのTCCデータベースを直接編集してAppleEventsやファイルアクセス権限を不正に付与します。これにより、ユーザーの明示的な許可なしに機密情報へアクセス可能となります。
Windows環境では「ClickFix」という技術を使い、コピー操作時に悪意あるコードをクリップボードに挿入する手法が確認されています。マルウェアは多段階の感染チェーンを持ち、情報窃取ツール(ステーラー)やキーロガーを含みます。
さらに、攻撃者は被害者の実際の映像を録画し、他の被害者を騙すために再利用するという高度な心理的トリックを用いています。2025年9月には、ZoomからMicrosoft Teamsへの攻撃UIの切り替えも確認されており、環境に応じた柔軟な攻撃展開が特徴です。
影響や重要性
この攻撃は、特にmacOSを利用するWeb3/ブロックチェーン業界の開発者や経営層、ベンチャーキャピタル関係者に甚大な影響を及ぼします。TelegramやGitHubを利用するユーザーも標的となっており、業界全体のセキュリティリスクが高まっています。
攻撃は単なるマルウェア感染に留まらず、被害者の映像を悪用するなど心理的な欺瞞も組み込まれているため、被害者の信頼を損ねる深刻な社会的影響も懸念されます。また、macOSのTCC機能をバイパスする手法は、Appleのセキュリティモデルの弱点を突くものであり、今後のOSアップデートやセキュリティ対策に大きな示唆を与えます。
まとめ
BlueNoroffによる「SnatchCrypto」作戦は、Web3業界の発展に伴う新たなサイバー脅威の象徴的な事例です。偽採用詐欺やZoom偽装を用いた巧妙な攻撃は、技術的に高度でありながら心理的なトリックも駆使しています。企業や個人は、TelegramやSNS上の不審なメッセージに警戒し、AppleScriptなどの不明なスクリプトの実行を避けることが重要です。また、macOSのTCC設定の定期的な確認やEDRの導入、従業員教育の強化も必須です。
今後も攻撃手法は進化が予想されるため、最新の情報収集と多層的な防御策の実施が求められます。
