出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/
原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs
ブルーノロフ、Web3開発者を標的としたAI活用の「ゴースト」攻撃手法を解明
サイバー攻撃グループBlueNoroff(別名:Sapphire Sleet、APT38など)が、Web3やブロックチェーン業界の開発者や経営層を狙った高度な攻撃キャンペーン「SnatchCrypto」を展開しています。特に2025年に確認された「GhostCall」と「GhostHire」という2つの攻撃は、AI技術を駆使し、macOSユーザーを中心に被害を拡大しています。
主要なポイント
- BlueNoroffの「SnatchCrypto」作戦:Web3/ブロックチェーン業界の開発者や経営層を標的にした攻撃キャンペーン。
- GhostCallキャンペーン:macOSの経営層を狙い、偽のZoom会議を使った巧妙なフィッシング攻撃を実施。
- GhostHireキャンペーン:GitHubリポジトリを介してWeb3開発者にマルウェアを感染させる手口。
- AI技術の活用:攻撃の精度と効率を高め、被害者の行動をリアルタイムで追跡し成功率を評価。
- プラットフォーム移行の試み:攻撃はZoomからMicrosoft Teamsへと移行しつつある。
技術的な詳細や背景情報
GhostCall攻撃は、Telegramを通じて被害者に接触し、偽のZoom会議リンクを送付します。被害者は実際の被害者の録画映像を見せられ、あたかもライブ通話をしているかのように錯覚させられます。会議中に「Zoom SDKアップデート」と称するAppleScript(Zoom SDK Update.scpt)をダウンロードさせ、マルウェア感染を誘導します。
このAppleScriptは約1万行の空白で悪意あるコードを巧妙に隠蔽し、curlコマンドで追加スクリプトを取得。macOSのTCC(Transparency, Consent, and Control)というユーザー許可管理機能をバイパスし、カメラやファイルアクセス権限を不正に付与します。さらに、パスワード管理アプリ、メモアプリ、Telegramのデータを収集し、DownTroyと呼ばれる別のAppleScriptがroot権限で追加マルウェアをインストールします。
Windows版ではClickFix技術を使い、クリップボードの内容を悪意あるコードに置換する手口が使われています。攻撃者はHTTPリクエストを通じて被害者の行動を追跡し、攻撃の成功率をリアルタイムで評価しています。
影響や重要性
- 主にWeb3/ブロックチェーン業界の開発者、Cレベルの経営者、マネージャーが標的。
- macOSを使用する技術系企業の経営層やベンチャーキャピタル関係者も被害を受けている。
- Telegram、Zoom、Microsoft Teamsなどのコミュニケーションプラットフォーム利用者もリスクに晒されている。
- 攻撃は既存のRustBucketキャンペーンから進化し、被害者の映像を録画・再利用するなど非常に巧妙。
- 多段階の感染チェーンと複数のマルウェアファミリーを用いることで、検知や対策が困難。
まとめ
BlueNoroffによる「GhostCall」および「GhostHire」キャンペーンは、AI技術を駆使した高度な攻撃手法で、Web3業界のキーパーソンを狙っています。特にmacOSユーザーを中心に、偽のZoom会議やGitHubを介したマルウェア感染が確認されており、攻撃はZoomからMicrosoft Teamsへと拡大しています。被害を防ぐためには、不審なSNSの招待リンクを警戒し、公式サイトからのアップデート実施、不明なスクリプトの実行回避、macOSの権限設定の定期確認、多要素認証の導入などが重要です。企業はセキュリティ教育を強化し、フィッシング攻撃への認識を高めることが求められます。
