Home / ソーシャルエンジニアリング / ブルーノロフ、Web3開発者狙う偽求人とZoom偽装攻撃を展開

ブルーノロフ、Web3開発者狙う偽求人とZoom偽装攻撃を展開

2025年10月31日

出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs

ブルーノロフによるWeb3開発者を狙った偽求人とZoom偽装攻撃の最新動向

サイバー攻撃グループ「BlueNoroff(ブルーノロフ)」が、Web3やブロックチェーン業界の経営層や開発者を標的にした高度な攻撃キャンペーンを展開しています。特にZoomやMicrosoft Teamsを装ったフィッシング攻撃や、偽の採用プロセスを利用したマルウェア配布が確認されており、業界関係者は警戒が必要です。

主要なポイント

  • SnatchCrypto作戦の展開:2025年4月以降、BlueNoroffは「GhostCall」と「GhostHire」という2つの悪質キャンペーンを実施。GhostCallはmacOSユーザーの経営層を狙い、Telegram経由でZoomの偽サイトに誘導しマルウェアを感染させる手口を用いています。
  • 偽求人を利用した攻撃:GhostHireはWeb3開発者を採用プロセスに見せかけ、GitHubのリポジトリを通じてマルウェアを配布。信頼を装いながら感染を狙う巧妙な手法です。
  • AI技術の悪用:攻撃者はAIを活用し、攻撃の精度と生産性を向上。被害者の映像はAI生成の偽造ではなく、実際の被害者の録画映像を悪用するなど、高度なソーシャルエンジニアリングを行っています。
  • 攻撃対象の拡大:2025年9月にはZoomからMicrosoft Teamsを狙う手法に移行し、macOSだけでなくWindowsユーザーも攻撃対象に含まれています。
  • 多段階の感染チェーン:7種類以上のマルウェア感染段階を持ち、権限昇格や継続的な情報収集を行う複雑な攻撃構造が特徴です。

技術的な詳細と背景

GhostCall攻撃は、ブラウザ上にZoomの偽ユーザーインターフェース(UI)を再現し、ユーザーにカメラ許可や名前の入力を促します。macOSでは「Zoom SDK Update.scpt」という悪意あるAppleScriptをダウンロード・実行させ、WindowsではClickFix技術を使ってクリップボードの内容を悪意あるコードに差し替えます。

AppleScriptは約1万行の空白で悪意あるコードを隠蔽し、curlコマンドで追加スクリプトをダウンロード。macOS 11以降では、偽のZoomやTeamsアップデートアプリを一時ディレクトリ(/tmp)にインストールし、パスワード入力を促します。さらに、macOSのセキュリティ機構であるTCC(Transparency, Consent, and Control)をバイパスし、ユーザーの許可なしにカメラやマイク、ファイルアクセス、AppleEventsの権限を取得します。

攻撃はパスワード管理アプリ(Bitwarden、LastPass、1Password、Dashlane)、Notes、Evernote、Telegramなどの重要データを収集。DownTroyというAppleScriptはroot権限で追加マルウェアをインストールし、多段階の感染チェーンを形成しています。

影響と重要性

この攻撃は特にWeb3/ブロックチェーン業界の経営層、マネージャー、開発者を標的としており、macOSユーザーが主な被害者ですが、Windowsユーザーも狙われています。ベンチャーキャピタル関係者やスタートアップ創業者のアカウントがなりすましに利用されるリスクも高まっています。

攻撃者は被害者の実際の映像を録画・再利用し、信頼感を演出する巧妙な手口を用いているため、被害者は自分が攻撃されていることに気づきにくいのが特徴です。また、Calendlyを利用してミーティングをスケジュールし、信頼性を高めるなど、ソーシャルエンジニアリングの手法も高度化しています。

推奨される対策

  • Telegramやその他のメッセージングプラットフォームでの不審な採用や投資関連の連絡に注意する。
  • ZoomやMicrosoft Teamsの公式アップデート以外のファイルやリンクは絶対に実行しない。
  • macOSのTCC設定やAppleScriptの実行権限を厳格に管理し、不審なスクリプトの実行を防ぐ。
  • パスワード管理アプリや重要情報を扱うアプリのセキュリティ設定を強化する。
  • 不審なミーティングリンクやファイルは開かず、疑わしい活動を監視する。
  • セキュリティベンダーが提供する最新の検知・防御策を導入し、常に情報をアップデートする。

まとめ

BlueNoroffによる「GhostCall」および「GhostHire」キャンペーンは、Web3業界を狙った高度かつ巧妙なサイバー攻撃の代表例です。ZoomやMicrosoft Teamsの偽装、AIを活用したソーシャルエンジニアリング、多段階のマルウェア感染チェーンなど、攻撃手法は日々進化しています。業界関係者は最新の攻撃動向を把握し、厳重なセキュリティ対策を講じることが不可欠です。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です