BlueNoroffのSnatchCrypto攻撃、偽投資会議と採用詐欺でブロックチェーン関係者を標的

出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs

BlueNoroffによるSnatchCrypto攻撃：偽の投資会議と採用詐欺でブロックチェーン関係者を狙う

サイバー攻撃グループBlueNoroff（別名Sapphire SleetやAPT38）は、Web3やブロックチェーン業界の開発者や経営層を標的にした新たな攻撃キャンペーン「SnatchCrypto」を展開しています。本記事では、2025年4月以降に確認された「GhostCall」と「GhostHire」という二つの悪質な攻撃手法の詳細と、その影響、対策について解説します。

主要なポイント

• BlueNoroffの狙いと攻撃キャンペーン
  金融利益を目的としつつ、特にWeb3/ブロックチェーン業界の経営層や開発者を標的に、「GhostCall」と「GhostHire」という二つのキャンペーンを実施しています。
• GhostCall：偽のZoom会議でmacOS経営層を攻撃
  Telegramを通じて偽のZoomミーティングに誘導し、実際の被害者の録画映像を使った偽通話で信頼を獲得。AppleScriptを用いてマルウェアを感染させます。
• GhostHire：GitHub偽装でWeb3開発者を標的
  GitHubのリポジトリを装ったマルウェアダウンロードを促し、Telegramボットで短時間の実行を強要する手口です。
• AI活用と攻撃の高度化
  攻撃者はAI技術を駆使し、攻撃の効率化と精緻化を図っています。また、ZoomのUI偽装からMicrosoft Teamsへの移行も開始しています。

技術的な詳細と背景情報

GhostCallでは、被害者が偽のZoomミーティングに参加すると、過去の被害者の映像が録画・再利用され、信頼感を演出します。被害者には「Zoom SDKアップデート」と称したAppleScriptファイル（Zoom SDK Update.scpt）をダウンロード・実行させることで感染が成立します。

このAppleScriptは約1万行の空白で悪意あるコードを隠蔽し、curlコマンドを使って追加のダウンローダーを取得。macOS 11 Monterey以降の環境では、偽のZoomやMicrosoft Teamsアプリを一時ディレクトリ（/tmp）にインストールし、パスワード入力を促すポップアップを表示します。

さらに、macOSのプライバシー管理機能であるTCC（Transparency, Consent, and Control）をバイパスし、ユーザーの同意なしにAppleEventsやファイルアクセス権限を付与する高度な手法を実装。これにより、BitwardenやLastPassなどのパスワード管理アプリ、メモアプリ、Telegramのデータを盗み出します。

感染チェーンは多段階で、少なくとも7種類の異なる経路が確認されており、スティーラー（情報窃取ツール）やキーロガーも含まれています。Windows版ではClickFix技術を用い、クリップボードに悪意あるコードを挿入する手口も確認されています。

影響と重要性

• 対象者
  主にWeb3/ブロックチェーン業界の開発者、Cレベル経営者、マネージャーが標的です。特にmacOS 11 Monterey以降のユーザーが狙われています。
• 攻撃の社会工学的高度化
  攻撃者は実際の被害者の映像を録画し、それを他の被害者の欺瞞に利用する高度な社会工学手法を駆使しています。
• Telegramの悪用
  攻撃者はTelegramを連絡手段やマルウェア配布に活用しており、Telegramユーザーもリスクにさらされています。
• 業界全体への影響
  テクノロジー企業やベンチャーキャピタル関係者も標的となっており、ブロックチェーン業界の信頼性と安全性に大きな影響を与えています。

推奨される対策

• TelegramやCalendlyなどのプラットフォームで送られてくる不審な招待やリンクは慎重に扱うこと。
• ZoomやMicrosoft Teamsのアップデートは必ず公式サイトから行い、不明なスクリプトやファイルは実行しない。
• macOSのAppleScript実行には特に注意し、不明なスクリプトは開かずに削除する。
• TCC権限の異常な変更を監視し、システムの整合性を定期的にチェックする。
• パスワード管理アプリや重要なメモアプリのデータ保護を強化し、多要素認証を導入する。
• セキュリティベンダーの最新情報や検知ルールを適用し、マルウェア感染の早期発見に努める。

まとめ

BlueNoroffによるSnatchCrypto攻撃は、偽の投資会議や採用詐欺を通じて、Web3/ブロックチェーン業界のキーパーソンを狙う高度なサイバー攻撃です。特にmacOSユーザーを中心に、巧妙な社会工学手法と技術的なマルウェア感染チェーンを組み合わせており、業界全体に深刻なリスクをもたらしています。

ユーザー側は不審な招待やリンクに警戒し、公式チャネル以外からのソフトウェア更新を避けるなどの基本的なセキュリティ対策を徹底することが重要です。また、企業はTCC権限の監視や多層的な防御策を講じることで、このような高度な攻撃からの防御力を高める必要があります。

今後も攻撃者はAI技術を活用し、手口を進化させていくことが予想されるため、最新の情報収集と迅速な対応が求められます。