Home / サイバー犯罪 / ブルーノロフ、Web3開発者狙う偽投資と採用詐欺でマルウェア拡散

ブルーノロフ、Web3開発者狙う偽投資と採用詐欺でマルウェア拡散

2025年10月31日

出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs

Web3開発者を狙うブルーノロフの偽投資・採用詐欺マルウェア攻撃

サイバー攻撃グループ「BlueNoroff」(別名:Sapphire Sleet、APT38など)が、Web3やブロックチェーン業界の幹部や開発者を標的にした巧妙なマルウェア拡散キャンペーンを展開しています。2025年4月以降、「GhostCall」と「GhostHire」という2つの攻撃手法が確認されており、偽の投資や採用を装った手口で被害者を騙し、macOSやWindows環境にマルウェアを感染させています。

主要なポイント

  • 狙われるターゲット:Web3/ブロックチェーン業界のCレベル幹部、マネージャー、開発者、ベンチャーキャピタル関係者などが主な標的。
  • GhostCallキャンペーン:macOSユーザーを中心に、Telegram経由で偽のZoom会議に誘導。AppleScriptを用いたマルウェア感染を狙い、被害者の実映像を録画・再利用する高度な詐称手法を使用。
  • GhostHireキャンペーン:Web3開発者にGitHubリポジトリを偽装したマルウェアをダウンロード・実行させる攻撃。
  • AI技術の活用:攻撃者はAIを駆使して攻撃の効率化と精緻化を図り、被害者の操作状況をリアルタイムで監視。
  • 技術的な手口の巧妙さ:macOSのセキュリティ機構であるTCC(透明性・同意・制御)を不正にバイパスし、システム権限を奪取。Windowsではクリップボード改ざん技術を利用。

技術的な詳細と背景

攻撃はTelegram上でVCや起業家を装ったアカウントから接触し、Calendlyで偽の会議を設定。被害者には偽のZoomドメインへのリンクが送られ、ブラウザ上でカメラ映像が1秒ごとに攻撃者サーバーへ送信されます。これにより、被害者の実映像を録画し、後の詐称に利用。

マルウェアは「Zoom SDK Update.scpt」というAppleScriptファイルに偽装されており、約1万行の空白コードで悪意を隠しています。このスクリプトはcurlコマンドで次段階のマルウェア「DownTroy」をダウンロードし、パスワード管理アプリやメモ、Telegramのデータを収集します。

macOSのTCCは本来、アプリがユーザーの許可なくカメラやファイルにアクセスするのを防ぐ仕組みですが、攻撃者はcom.apple.TCCディレクトリの名前変更やTCC.dbの直接編集により、AppleEventsやファイルアクセスの権限を不正に付与。これにより、ユーザーの同意なしにシステムの重要リソースへアクセス可能となっています。

Windows環境では「ClickFix」と呼ばれる技術を使い、クリップボードの内容を悪意あるコードにすり替える手法が確認されています。DownTroyは感染ホストにZIPファイルをダウンロードし、複数のマルウェア実行チェーンを展開する複雑な構造です。

影響と重要性

この攻撃は、Web3やブロックチェーン業界のキーパーソンを狙うことで、業界全体の信頼性や安全性に大きな影響を与えます。特にmacOSユーザーが主な標的であり、最新のセキュリティ対策が求められます。また、被害者の実映像を盗撮し再利用する手法は、AIやディープフェイク技術を用いない点で非常にリアルかつ恐ろしい特徴です。

攻撃者は被害者の操作状況をHTTP GETリクエストでリアルタイムに監視し、成功率を評価するなど、攻撃の精度を高めています。Microsoftや複数のセキュリティ企業もこのキャンペーンに関する情報を公開していますが、本調査では新たなマルウェアチェーンや詳細な分析が明らかになりました。

推奨される対策

  • TelegramやCalendlyなどのプラットフォームでの不審な接触やリンクには十分注意する。
  • ZoomやMicrosoft Teamsのアップデートは必ず公式サイトから直接実施し、偽サイトに誘導されないようにする。
  • macOSのTCC権限管理の異常を監視し、不審なAppleScriptの実行を防止する。
  • 不明なZIPファイルやGitHubリポジトリの実行は避け、信頼できるソースのみを利用する。
  • 企業は通信ログやシステム挙動の監視を強化し、被害の早期発見に努める。
  • セキュリティ教育を通じて、偽の投資や採用関連の誘いに対する警戒心を高める。

まとめ

BlueNoroffによる「GhostCall」および「GhostHire」キャンペーンは、Web3業界のキーパーソンを狙った高度なマルウェア攻撃であり、偽の投資や採用を装った巧妙な手口が特徴です。macOSのセキュリティ機構を不正に突破し、被害者の実映像を悪用するなど、攻撃の精度とリアリティは非常に高いものとなっています。

業界関係者は、日常的なセキュリティ対策の徹底と、不審な連絡やリンクへの警戒を強化することが不可欠です。最新の情報を常に収集し、適切な防御策を講じることで、このような高度な攻撃から身を守りましょう。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です