Home / サイバー犯罪 / ブルーノロフ、Web3開発者狙うAI活用の巧妙なフィッシング攻撃「ゴーストコール」「ゴーストハイヤー

ブルーノロフ、Web3開発者狙うAI活用の巧妙なフィッシング攻撃「ゴーストコール」「ゴーストハイヤー

2025年11月2日

出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs

ブルーノロフによるWeb3開発者狙いのAI活用フィッシング攻撃「ゴーストコール」「ゴーストハイヤー」

サイバー攻撃グループ「BlueNoroff」(別名:Sapphire Sleet、APT38)は、2025年4月以降、Web3やブロックチェーン業界の開発者や経営層を狙った巧妙なフィッシング攻撃キャンペーン「GhostCall」と「GhostHire」を展開しています。これらの攻撃はAI技術を駆使し、高度な心理的欺瞞とマルウェア感染チェーンを特徴としています。

主要なポイント

  • BlueNoroffの狙いと活動:主に金銭目的で活動しつつ、Web3業界の開発者や経営層を標的にした新たな攻撃手法を採用。特に「SnatchCrypto」作戦の一環として実施。
  • GhostCallキャンペーン:macOSユーザーの経営層をTelegramで接触し、Zoomに似せた偽の投資会議サイトへ誘導。実際の被害者の録画映像を流用し、リアルな偽ビデオ通話を演出。
  • GhostHireキャンペーン:Web3開発者を対象に採用過程を装い、GitHubリポジトリ経由でマルウェアを配布。スキル評価の名目で不正コードを実行させる。
  • AIの活用:攻撃の生産性と精度を高めるためにAI技術を導入。これにより、標的への接触やマルウェアのカスタマイズが効率化されている。
  • macOSの権限バイパス技術:AppleScriptを悪用し、macOSのTCC(透明性・同意・制御)機能を直接編集してカメラやファイルアクセス権限をユーザーの同意なしに付与する高度な感染チェーンを確認。

技術的な詳細と背景情報

攻撃者はまずTelegram上で偽のVC(ベンチャーキャピタル)担当者や起業家を装い標的に接触し、Calendlyを使って偽の会議を設定します。会議はZoomのブラウザ版を精巧に模倣した偽サイトで行われ、ユーザーのカメラを有効化させて録画を行います。この録画映像は他の被害者のものを流用し、リアルな通話の演出に利用されます。

マルウェア感染は「Zoom SDK Update.scpt」というAppleScriptファイルのダウンロードと実行を通じて行われます。このスクリプトはmacOSのTCCデータベースを直接編集し、ユーザーの同意なしにカメラやファイルアクセスの権限を付与します。さらに、DownTroyと呼ばれるAppleScriptはパスワード管理アプリやメモアプリ、Telegramのデータを窃取します。

Windows環境では「ClickFix」という技術を使い、クリップボードの内容を悪意あるコードにすり替える手法も確認されています。マルウェアは多段階の感染チェーンを持ち、複数のマルウェアファミリーをインストールすることで被害を拡大します。

影響と重要性

  • 主な標的はWeb3/ブロックチェーン業界の開発者、Cレベルの経営者、マネージャーであり、macOSユーザーが中心ですがWindowsユーザーも含まれます。
  • 被害者はパスワード管理アプリやメモアプリ、Telegramを利用していることが多く、これらの情報窃取によりさらなる被害拡大が懸念されます。
  • 攻撃者は実際の被害者の録画映像を悪用するなど、心理的な欺瞞を巧みに用いており、被害者の警戒心を低減させる高度な手口が特徴です。
  • AIの活用により攻撃の効率化と精密化が進んでいるため、今後も攻撃手法の高度化やプラットフォームの移行が予想されます。

まとめと推奨対策

BlueNoroffによる「GhostCall」「GhostHire」キャンペーンは、Web3業界を狙った高度なフィッシング攻撃であり、AI技術とmacOSの権限バイパス技術を駆使した巧妙な手口が確認されています。特にTelegramなどのSNSでの不審な接触や、ZoomやMicrosoft Teamsを装った偽サイトには十分な警戒が必要です。

  • 不審なSNSからの接触や投資・採用関連の誘いには慎重に対応する。
  • ZoomやMicrosoft Teamsのアップデートは必ず公式サイトや正規アプリから行う。
  • AppleScriptや不明なスクリプトの実行は避け、macOSのTCC設定や権限管理を定期的に確認する。
  • 企業は従業員に対し、偽のリモート会議や採用プロセスに関する教育を強化し、セキュリティ意識を高める。
  • 最新のセキュリティ情報を参照し、検知・防御策を導入することが重要。

このような高度な攻撃に対抗するためには、技術的な対策とともにユーザー教育が不可欠です。今後も攻撃手法の変化に注視し、適切な防御策を講じることが求められます。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です