Home / サイバー犯罪 / BlueNoroffのスナッチクリプト攻撃:偽投資会議と採用詐欺によるマルウェア感染手口

BlueNoroffのスナッチクリプト攻撃:偽投資会議と採用詐欺によるマルウェア感染手口

2025年11月1日

出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs

BlueNoroffのスナッチクリプト攻撃:偽の投資会議と採用詐欺を利用したマルウェア感染手口

サイバー攻撃グループBlueNoroff(別名:Sapphire Sleet、APT38など)が、Web3やブロックチェーン業界の開発者や経営層を狙った巧妙なマルウェア攻撃「SnatchCrypto」作戦を展開しています。2025年には「GhostCall」と「GhostHire」という二つの悪質キャンペーンが確認され、偽の投資会議や採用詐欺を通じてmacOSやWindows環境にマルウェアを感染させる手口が明らかになりました。

主要なポイント

  • ターゲットと攻撃キャンペーン: BlueNoroffはWeb3/ブロックチェーン業界の経営層や開発者を標的に、2025年に「GhostCall」と「GhostHire」という二つのキャンペーンを実施。GhostCallはmacOSの経営層を狙い、Telegram経由で偽の投資会議に誘導。GhostHireはWeb3開発者にGitHubを装ったマルウェアを配布。
  • AI技術の活用: 攻撃にはAI技術が利用され、標的への接触やマルウェアの配布効率、精度が向上している点が特徴的です。
  • 巧妙な感染手法: GhostCallはZoomの偽サイトを用い、被害者のウェブカメラ映像を他の被害者の録画映像で偽装するなど、リアルな通話を演出。AppleScriptやWindowsのクリップボード悪用技術「ClickFix」を使い、マルウェアを多段階で感染させます。
  • macOSの権限バイパス: AppleScriptによりmacOSのTCC(透明性・同意・制御)システムを回避し、ユーザーの許可なしにカメラやマイク、ファイルアクセス権限を取得。これによりパスワード管理アプリやTelegramのデータも盗まれます。
  • 感染チェーンの複雑さ: 少なくとも7種類の多段階実行チェーンと複数のマルウェアファミリーが確認されており、攻撃の多層的かつ高度な構造が明らかになっています。

技術的な詳細や背景情報

GhostCallキャンペーンでは、被害者を偽のZoomアップデートに誘導するためにAppleScriptファイルを配布します。このAppleScriptは約1万行の空白行で悪意あるコードを隠蔽し、curlコマンドで追加の悪質スクリプトをダウンロードします。macOSのTCCシステムをバイパスすることで、ユーザーの許可なしにカメラやマイク、ファイルアクセス権限を取得し、被害者の情報を盗み出します。

Windows環境では「ClickFix」と呼ばれるクリップボードを悪用した技術を使い、マルウェアを配布。さらに、攻撃者はCalendlyを利用してミーティングをスケジューリングし、信頼感を演出するなど、ソーシャルエンジニアリングの手法も巧妙に組み込まれています。

攻撃は2023年中頃から確認されており、2025年9月にはZoomからMicrosoft TeamsへのUI偽装に移行するなど、手口の進化も見られます。感染したマルウェアはパスワード管理アプリやメモ帳、Telegramのデータを収集し、被害者の機密情報を窃取します。

影響や重要性

この攻撃は特にWeb3/ブロックチェーン業界の経営層や開発者、macOSユーザーを狙っており、業界の信頼性や安全性に深刻な影響を及ぼします。Telegramを通じた接触や偽の投資会議、採用詐欺を利用した手口は、業界関係者の警戒心を低下させるため、被害拡大のリスクが高いです。

また、macOSのTCC権限をバイパスする高度な技術は、Apple製品のセキュリティモデルに対する新たな脅威を示しており、今後の対策強化が急務となっています。多段階の感染チェーンやAI技術の活用により、攻撃の検知や防御が一層難しくなっている点も見逃せません。

まとめ

BlueNoroffによる「SnatchCrypto」作戦は、偽の投資会議や採用詐欺を巧みに利用し、macOSやWindows環境に多段階のマルウェア感染を引き起こす高度な攻撃です。特にWeb3/ブロックチェーン業界の経営層や開発者が狙われており、TelegramやZoom、GitHubを悪用した手口は非常に巧妙です。

ユーザーは不審なSNSメッセージや非公式のアップデートファイルに注意し、macOSのTCC権限設定を定期的に確認することが重要です。企業はセキュリティ教育を強化し、マルウェア検知・防御体制の充実を図る必要があります。今後も進化する攻撃手法に対して、最新の情報収集と対策が求められます。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です