Home / セキュリティ / ブルーノロフ、Web3開発者狙うAI活用の偽採用とフィッシング攻撃

ブルーノロフ、Web3開発者狙うAI活用の偽採用とフィッシング攻撃

2025年10月30日

出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs

ブルーノロフによるWeb3開発者を狙ったAI活用偽採用・フィッシング攻撃の全貌

近年、金融系サイバー犯罪グループ「BlueNoroff(ブルーノロフ)」が、Web3やブロックチェーン業界の開発者や経営層を標的にした新たな攻撃キャンペーンを展開しています。特に2025年に確認された「GhostCall」と「GhostHire」は、AIを駆使した高度な偽採用やフィッシング手口で注目されています。

主要なポイント

  • BlueNoroffの新攻撃キャンペーン「SnatchCrypto」:金融目的の活動に加え、Web3開発者や経営層を狙う2つのキャンペーン「GhostCall」と「GhostHire」を実施。
  • GhostCallの手口:macOSユーザーの経営層をTelegram経由で偽の投資会議に誘導し、Zoomを模倣したフィッシングサイトでマルウェア感染を狙う。
  • GhostHireの手口:GitHubリポジトリを介してWeb3開発者にマルウェアを実行させる攻撃を展開。
  • AIの活用:攻撃の精度と生産性を高めるためにAI技術を駆使し、被害者の操作をリアルタイムで監視し成功率を向上。
  • 攻撃の進化:Zoom UIの偽装からMicrosoft Teams UIの偽装へと手口を変化させている。

技術的な詳細と背景情報

GhostCall攻撃では、偽のZoom会議サイトにて実際の被害者の録画映像を流し、被害者に偽のZoom SDKアップデート(AppleScriptファイル)をダウンロード・実行させます。このAppleScriptは約1万行の空白で悪意あるコードを隠し、curlコマンドで次段階のマルウェアをダウンロードします。

macOS 11以降の環境では、偽ZoomやMicrosoft Teamsアプリを /private/tmp にインストールし、パスワード入力を促すポップアップを表示。パスワードを入力すると、root権限で追加マルウェア「DownTroy」がインストールされ、パスワード管理アプリ(Bitwarden、LastPassなど)、メモアプリ、Telegramのファイルを収集します。

さらに、macOSの「TCC(Transparency, Consent, and Control)」というユーザーの許可を管理する仕組みを巧妙にバイパスし、ユーザーの同意なしにカメラやマイク、ファイルアクセス、AppleEventsの権限を取得します。Telegram上ではVCや起業家を装い、Calendlyで会議を設定し、偽ZoomドメインのURLを送信。ユーザーの操作はHTTP GETリクエストでリアルタイムに追跡されます。

Windows版では「ClickFix」技術を用い、クリップボードに悪意あるコードを挿入する手口も確認されていますが、macOSへの攻撃シフトが顕著です。

影響と重要性

  • 標的:主にWeb3/ブロックチェーン業界の開発者、Cレベル役員、マネージャーが狙われています。特にmacOSユーザーが多く、技術系企業の経営層やベンチャーキャピタル関係者もリスクが高いです。
  • 情報漏洩リスク:パスワード管理アプリやメモアプリの情報が盗まれることで、企業の機密情報や個人情報が流出する恐れがあります。
  • 攻撃の高度化:AIを活用したリアルタイム監視や多段階の感染チェーンにより、従来の防御策だけでは防ぎきれない複雑な攻撃が展開されています。
  • 社会的影響:偽採用や投資会議を装うことで被害者の信頼を巧みに利用し、業界全体の信頼性を損なう可能性があります。

まとめと推奨対策

BlueNoroffによる「GhostCall」「GhostHire」攻撃は、AI技術を駆使した高度な偽採用・フィッシング手口で、特にWeb3業界のmacOSユーザーを狙っています。被害を防ぐためには、以下の対策が重要です。

  • TelegramなどSNS上の不審な投資や採用関連メッセージに警戒する。
  • ZoomやMicrosoft Teamsの公式サイト以外からのアップデートやファイルダウンロードを避ける。
  • macOSのTCC設定を定期的に確認し、不審な権限付与がないか監視する。
  • パスワード管理アプリや重要データのバックアップ、多要素認証(MFA)を導入する。
  • セキュリティソフトでAppleScriptや不審なダウンロードファイルを検出・隔離する。
  • 社内でのセキュリティ教育を強化し、フィッシング攻撃の認識を高める。

このような高度な攻撃に対抗するためには、技術的な対策だけでなく、ユーザーの警戒心と教育も不可欠です。最新の攻撃手法を理解し、組織全体で防御力を高めていきましょう。

security-user

Related Posts

Google、「Chrome 142」でV8関連はじめ脆弱性20件を修正
2025年11月4日
不正アクセス受け情報漏えいの可能性│株式会社がんばる舎
2025年11月4日
メメントラボのスパイウェア「ダンテ」を用いた新たな標的型攻撃キャンペーン「フォーラムトロール」検出
2025年11月2日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です