出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/
原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs
ブルーノロフによるWeb3開発者を狙った巧妙なフィッシングおよびマルウェア攻撃
近年、Web3やブロックチェーン業界の発展とともに、これらの分野を標的としたサイバー攻撃も高度化しています。特に、ブルーノロフ(BlueNoroff)と呼ばれる高度持続的脅威(APT)グループが、Web3開発者や経営層を狙った巧妙なフィッシングおよびマルウェア攻撃を展開していることが明らかになりました。
主要なポイント
- BlueNoroffの攻撃キャンペーン:「SnatchCrypto作戦」として知られるこの攻撃は、2025年4月以降に「GhostCall」と「GhostHire」という2つの悪意あるキャンペーンを通じて実施されています。
- GhostCallの手口:macOSを使用する経営層を標的に、Telegram経由で偽のZoom会議に誘導。AppleScriptを利用したマルウェア感染を狙い、被害者の映像をリアルタイムで攻撃者に送信し、さらに他の被害者の録画映像を流して信頼を得る高度な手法を用いています。
- GhostHireの手口:Web3開発者をGitHubリポジトリ経由でマルウェアをダウンロード・実行させる手口で、開発者の信頼を悪用しています。
- 攻撃プラットフォームの変遷:2025年9月頃からは、ZoomからMicrosoft Teamsへと攻撃対象のプラットフォームを移行しつつあります。
- マルウェアの高度な権限取得:macOSのTCC(透明性・同意・制御)をバイパスし、ユーザーの許可なしに機密情報やファイルへのアクセスを可能にするなど、システムの深部に侵入しています。
技術的な詳細や背景情報
偽のZoomサイトはJavaScriptを用いて被害者のカメラを起動し、映像を毎秒攻撃者のサーバーに送信。AppleScript「Zoom SDK Update.scpt」は約1万行の空白で悪意あるコードを隠蔽し、curlコマンドで追加の悪質なスクリプトをダウンロードします。macOS 11以降では、偽のZoomやTeamsのアップデートアプリを一時フォルダにインストールし、パスワード入力を促すポップアップを表示するなど、ユーザーの警戒心を下げる工夫がなされています。
さらに、DownTroyスクリプトはパスワード管理アプリやメモアプリ、Telegramのデータを収集。macOSのTCCデータベースをオフラインで改ざんし、AppleEventsやDocuments、Downloads、Desktopフォルダへのアクセス権を不正に付与します。Windows環境ではClickFix技術を用いてクリップボードの内容を悪意あるコードに置換し、さらなる感染を狙います。
影響や重要性
この攻撃は主にWeb3やブロックチェーン業界の開発者、Cレベルの経営者、マネージャーを標的としており、macOSユーザーが特に狙われていますが、Windowsユーザーも例外ではありません。ベンチャーキャピタル関係者やスタートアップ創業者のアカウントも乗っ取られ、攻撃の踏み台として悪用されるケースが報告されています。
攻撃者はAI技術を活用し、攻撃の生産性と精度を高めている点も見逃せません。また、被害者の映像を録画し、それを他の被害者の騙しに再利用するという高度なソーシャルエンジニアリング手法を駆使しています。複数のセキュリティ企業がこれらの攻撃を追跡しており、その深刻さがうかがえます。
まとめ
BlueNoroffによるGhostCallおよびGhostHireキャンペーンは、Web3業界におけるサイバーセキュリティの脅威の新たな段階を示しています。TelegramやGitHubなどの信頼されるプラットフォームを悪用し、macOSのセキュリティ機能を巧妙に回避する手口は、被害者の警戒心を著しく低下させます。
企業や個人は、不審なメッセージや会議招待に注意し、公式以外のアップデートファイルを実行しないこと、macOSのTCC設定やAppleScriptの挙動を監視することが重要です。また、セキュリティソフトの導入や定期的なシステムスキャン、従業員へのフィッシング対策教育も不可欠です。Web3業界の関係者は、これらの攻撃に対して十分な警戒と対策を講じる必要があります。
