Home / セキュリティ / 暗号資産の無駄遣い:ブルーノロフの資金と雇用の幻影

暗号資産の無駄遣い:ブルーノロフの資金と雇用の幻影

2025年10月30日

出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs

暗号通貨業界を狙う高度なサイバー攻撃「GhostCall」と「GhostHire」

近年、Web3やブロックチェーン業界の幹部や開発者を標的にした高度なサイバー攻撃が確認されています。特にBlueNoroff(別名:Sapphire Sleet、APT38)が展開する「GhostCall」と「GhostHire」という2つのキャンペーンは、macOSユーザーを中心に巧妙な手口で感染を広げています。

主要なポイント

  • BlueNoroffによる標的型攻撃:Web3やブロックチェーン業界のCレベル幹部や開発者を対象に、Zoomを模した偽のオンライン会議サイトやGitHubリポジトリを介したマルウェア配布を行うキャンペーンを実施。
  • GhostCallの手口:Telegramで直接接触し、Calendlyで偽の会議を設定。Zoomの偽サイトで実際の被害者映像を流し、AppleScriptやトラブルシューティング用コードをダウンロードさせて感染を拡大。
  • GhostHireの手口:Web3開発者に対し、採用プロセスを装いGitHub経由でマルウェアを配布。AIを活用して攻撃の効率化と精密化を図っている。
  • macOSのセキュリティ機能を巧みに回避:AppleScriptに悪意あるコードを隠蔽し、TCC(透明性・同意・制御)機能をバイパスしてカメラやマイク、ファイルアクセスを許可なく取得。
  • 被害者の行動を詳細に追跡:Beaconing機能により、会議参加やアップデートクリックなどの行動を攻撃者に報告し、攻撃の成功率を高めている。

技術的な詳細や背景情報

GhostCallキャンペーンでは、まずTelegramを通じてターゲットに接触し、Calendlyで偽のオンライン会議を設定します。被害者はZoomを模した偽サイトに誘導され、そこで過去の被害者の録画映像が流されることで信頼感を醸成します。

被害者は「Zoom SDKアップデート」やトラブルシューティング用コードと称してAppleScript(macOS用)やWindows用コードをダウンロード・実行してしまいます。AppleScriptは約1万行の空白で悪意あるコードを隠し、curlコマンドで次段階のマルウェアを取得します。

macOS 11 Monterey以降の環境では、偽アプリを一時ディレクトリにインストールし、パスワード入力を促すポップアップを表示。さらに「DownTroy」と呼ばれるAppleScriptをダウンロードし、root権限で追加のマルウェアをインストールします。

攻撃はパスワード管理アプリ(Bitwarden、LastPassなど)、メモアプリ(Apple Notes、Evernote)、Telegramのファイルを狙い、macOSのTCC機能をバイパスしてユーザーの許可なしにカメラ、マイク、ファイルアクセス、AppleEventsの自動化を可能にします。

また、被害者のクリップボードを操作し、コピー操作時に悪意あるコードを挿入する「ClickFix」技術も使用。攻撃者は被害者の行動を詳細に追跡し、攻撃の成功率を評価しています。

影響や重要性

この攻撃は、Web3やブロックチェーン業界の経営層や開発者、さらにはベンチャーキャピタルやテック企業の幹部にも及んでいます。macOSユーザーが主な標的ですが、Windowsユーザーも攻撃対象です。

攻撃者はAIを活用して攻撃の効率化と精密化を図っており、偽動画にはディープフェイクではなく実際の被害者映像を悪用するなど、信頼を得るための工夫が高度です。これにより、業界全体のセキュリティリスクが大幅に高まっています。

推奨される対策

  • TelegramなどのSNSでの不審な投資や採用関連の接触に警戒する。
  • ZoomやMicrosoft Teamsの公式アップデート以外のファイルを安易にダウンロード・実行しない。
  • macOSのTCC設定やAppleScriptの実行許可を厳格に管理する。
  • 不審な会議リンクや偽サイトへのアクセスを避ける。
  • 企業はマルウェア検知ツールや行動監視を強化し、被害の早期発見に努める。
  • 従業員に対してフィッシングやソーシャルエンジニアリング攻撃のリスクを周知し、セキュリティ教育を徹底する。

まとめ

BlueNoroffによる「GhostCall」と「GhostHire」は、Web3/ブロックチェーン業界の重要人物を狙った高度で巧妙なサイバー攻撃です。特にmacOSのセキュリティ機能を回避し、実際の被害者映像を悪用するなど、信頼を巧みに利用しています。

このような攻撃に対抗するためには、ユーザー自身の警戒心と企業のセキュリティ対策の強化が不可欠です。公式以外のアップデートやリンクを安易に信用せず、日頃から最新のセキュリティ情報を収集し、適切な対策を講じることが求められます。

security-user

Related Posts

Google、「Chrome 142」でV8関連はじめ脆弱性20件を修正
2025年11月4日
不正アクセス受け情報漏えいの可能性│株式会社がんばる舎
2025年11月4日
メメントラボのスパイウェア「ダンテ」を用いた新たな標的型攻撃キャンペーン「フォーラムトロール」検出
2025年11月2日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です