Home / サイバー犯罪 / ブルーノロフ、Web3開発者狙う偽採用と投資詐欺で侵入拡大

ブルーノロフ、Web3開発者狙う偽採用と投資詐欺で侵入拡大

2025年10月31日

出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs

ブルーノロフによるWeb3開発者狙いの偽採用・投資詐欺攻撃の拡大

サイバー攻撃グループ「BlueNoroff」(別名:Sapphire Sleet、APT38など)が、Web3やブロックチェーン業界の開発者や経営層を標的にした新たな攻撃キャンペーン「SnatchCrypto」を展開しています。2025年4月以降、macOSユーザーを狙う「GhostCall」とWeb3開発者を標的にした「GhostHire」という2つの悪質な攻撃が確認されており、その手口は非常に巧妙かつ高度化しています。

主要なポイント

  • 攻撃キャンペーン「GhostCall」と「GhostHire」
    GhostCallはmacOSを使う経営層をターゲットに、Telegram経由で偽のZoom会議に誘導し、AppleScriptを用いたマルウェア感染を狙います。一方、GhostHireはWeb3開発者にGitHubリポジトリのスキル評価を装ってマルウェアを実行させる手口です。
  • 巧妙な偽Zoom会議の演出
    GhostCallの偽Zoom会議では、過去の被害者の実際の録画映像を流すことで信頼感を演出し、被害者を騙す高度なソーシャルエンジニアリングが用いられています。2025年9月には攻撃プラットフォームをZoomからMicrosoft Teamsへと移行しつつあります。
  • macOSの権限を悪用するマルウェアの技術
    AppleScriptファイルをダウンロード・実行させ、macOSの透明性・同意・制御(TCC)機能をバイパスしてカメラやファイルアクセスの権限をユーザーの同意なしに取得。複数の多段階実行チェーンでキー入力記録や情報窃取を行います。
  • Windows版の攻撃手法
    Windows環境では「ClickFix」技術を使い、クリップボードに悪意あるコードを仕込む手口が確認されています。被害者のOSに応じて最適なペイロードを選択し、感染を効率化しています。
  • 攻撃者はAIを活用し攻撃の精緻化を推進
    AI技術を用いて攻撃の効率化と精度向上を図っており、CalendlyやTelegramのハイパーリンク機能を悪用した初期接触も特徴的です。

技術的な詳細と背景

攻撃者はまずTelegramなどのメッセージングプラットフォームを通じて標的に接触し、偽のZoomまたはMicrosoft Teamsの会議リンクを送付します。偽サイトはブラウザの機能を悪用し、カメラ起動や名前入力を促すことでリアリティを演出。被害者がAppleScriptファイル(例:「Zoom SDK Update.scpt」)をダウンロードして実行すると、curlコマンドで追加のAppleScriptを取得し、偽アプリをmacOSの「/private/tmp」ディレクトリにインストールします。

このマルウェアはmacOSのTCC(Transparency, Consent, and Control)機能を巧みにバイパスし、ユーザーの明示的な許可なしにカメラやファイルアクセス、AppleEventsの権限を取得。これにより、BitwardenやLastPassなどのパスワード管理アプリ、メモアプリ、Telegramのデータを窃取します。さらに、7種類以上の多段階実行チェーンを持ち、キー入力の記録や情報収集を行う高度なマルウェアです。

Windows版では「ClickFix」と呼ばれる技術を用い、クリップボードに悪意あるコードを挿入する手口が報告されています。これにより、被害者の操作を乗っ取り、さらなる感染拡大や情報窃取を狙います。

影響と重要性

この攻撃は特にWeb3やブロックチェーン業界の開発者、Cレベルの経営者、マネージャーを狙っており、macOSを使用する技術系企業の経営層やベンチャーキャピタル関係者が大きなリスクにさらされています。Telegramが初期接触手段として悪用されているため、同プラットフォームのユーザーは特に注意が必要です。

攻撃者が被害者の映像を録画し、それを他の被害者の欺瞞に利用する手法は非常に巧妙で、被害者の信頼を巧みに利用しています。また、攻撃の初期段階でCalendlyを使ったミーティング設定やTelegramのハイパーリンク機能を悪用するなど、多角的なアプローチで成功率を高めています。

推奨される対策

  • Telegramや類似のメッセージングプラットフォームでの不審な投資・採用関連の連絡には十分警戒する。
  • ZoomやMicrosoft Teamsのアップデートは必ず公式サイトから直接行い、不審なファイルのダウンロードや実行を避ける。
  • macOSのTCC設定や権限管理を定期的に確認し、不審な権限変更がないか監視する。
  • セキュリティ製品でマルウェア検知と挙動監視を強化し、組織内でのフィッシング対策教育とインシデント対応体制を整備する。

まとめ

BlueNoroffによる「SnatchCrypto」作戦は、Web3やブロックチェーン業界の重要人物を狙った高度なサイバー攻撃であり、macOSの権限を巧みに悪用するマルウェアや巧妙なソーシャルエンジニアリングが特徴です。攻撃者はAIを活用し、攻撃の効率化と精緻化を推進しているため、被害の拡大が懸念されます。関係者は不審な連絡に注意し、適切なセキュリティ対策を講じることが急務です。

参照元: Securelist – BlueNoroff APT Campaigns GhostCall and GhostHire

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です