出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/
原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs
ブルーノロフによるWeb3開発者を狙った偽求人とZoom偽装攻撃の全貌
サイバー攻撃グループ「BlueNoroff」(別名:Sapphire Sleet、APT38など)が、Web3やブロックチェーン業界の幹部や開発者を標的にした巧妙な攻撃キャンペーンを2025年に展開しました。特に偽のZoom会議やGitHubリポジトリを装ったマルウェア配布が確認されており、最新のAI技術を駆使した高度な手口が明らかになっています。
主要なポイント
- SnatchCrypto作戦:BlueNoroffはWeb3業界のCレベル幹部や開発者を標的に、「GhostCall」と「GhostHire」という2つの悪質キャンペーンを実施。
- GhostCallの手口:macOSユーザーをTelegram経由で偽のZoom会議に誘導し、AppleScriptを用いたマルウェア感染を狙う。偽Zoom UIは被害者の映像をリアルタイム録画し、他の被害者欺瞞に利用。
- GhostHireの手口:Web3開発者にGitHubリポジトリを装ったマルウェアをダウンロード・実行させる手法。
- AI活用:攻撃の効率化と精緻化にAI技術を活用し、より高度な社会工学的手法を展開。
- 攻撃プラットフォームの移行:2025年9月以降、ZoomからMicrosoft Teamsへ攻撃の舞台を移行中。
技術的な詳細と背景情報
攻撃者はTelegramでVCや起業家を装い接触し、Calendlyで偽の会議を設定。送付される偽Zoomドメインのリンクはブラウザのカメラ機能を利用し、被害者の映像をリアルタイム録画・送信します。会議中に「Zoom SDKアップデート」と偽りAppleScriptファイルをダウンロードさせ、macOSに感染を開始。
AppleScriptは約1万行の空白を挿入し悪意を隠蔽。curlコマンドで次段階のスクリプトを取得し、macOS 11以降では/tmpに偽Zoom/Teamsアプリをインストール。パスワード入力を促す偽画面を表示し、BitwardenやLastPassなど主要なパスワード管理アプリやTelegramのデータを盗みます。
さらにmacOSのTCC(透明性・同意・制御)機能をバイパスするため、com.apple.TCCディレクトリのリネームやTCC.dbのオフライン編集を行い、AppleEventsの自動化やユーザーフォルダへのアクセスをユーザーの同意なしに可能にしています。
影響と重要性
- 対象:Web3/ブロックチェーン業界の幹部、マネージャー、開発者、macOSユーザーのテック企業幹部やベンチャーキャピタル関係者、TelegramやGitHub利用者が主な標的。
- 高度な社会工学:被害者の映像を録画し他の被害者の欺瞞に使うなど、リアルな信頼感を演出する高度な手法が用いられている。
- 多段階感染チェーン:7種類以上のマルウェアファミリーが確認されており、感染の複雑さと被害拡大の危険性が高い。
- 攻撃の進化:ZoomからMicrosoft Teamsへの移行は、攻撃者が環境の変化に柔軟に対応し続けている証拠。
推奨される対策
- TelegramやGitHubなどのプラットフォームで不審なリンクやファイルの取り扱いに十分注意する。
- ZoomやMicrosoft Teamsの公式アップデート以外のファイルを安易に実行しない。
- macOSのセキュリティ設定を強化し、TCCの改変を検知・防止する仕組みを導入する。
- 企業は従業員に対し、偽の投資会議や採用プロセスを装った攻撃の教育を徹底する。
- 不審な会議招待やアップデート通知は必ず公式チャネルで確認する。
- セキュリティベンダーの最新情報を常に参照し、検知・防御策を更新する。
まとめ
BlueNoroffによる「SnatchCrypto」作戦は、Web3業界のキーパーソンを狙った高度かつ巧妙な攻撃キャンペーンです。偽のZoom会議やGitHubリポジトリを装ったマルウェア配布、AIを活用した社会工学的手法など、最新の技術を駆使して被害を拡大しています。macOSのセキュリティ機能を巧みに回避する点も特筆すべきであり、業界関係者は警戒と対策の強化が急務です。常に公式チャネルでの確認とセキュリティ教育を徹底し、最新の脅威情報に基づく防御策を講じることが重要となります。
