Home / ゼロデイ攻撃 / ブルーノロフのスナッチクリプト攻撃、偽投資会議と採用詐欺でWeb3関係者を標的に

ブルーノロフのスナッチクリプト攻撃、偽投資会議と採用詐欺でWeb3関係者を標的に

2025年10月30日

出典: Securelist – https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/

原題: Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs

ブルーノロフによるスナッチクリプト攻撃:Web3関係者を狙う巧妙なフィッシングとマルウェア感染

サイバー犯罪者グループ「BlueNoroff」は、Web3やブロックチェーン業界の開発者や経営層を標的にした新たな攻撃キャンペーン「SnatchCrypto」を展開しています。偽の投資会議や採用詐欺を装い、macOSやWindows環境にマルウェアを感染させる手口が確認されました。

主要なポイント

  • BlueNoroffの攻撃キャンペーン「GhostCall」と「GhostHire」
    2025年4月以降、macOSの経営層を狙う「GhostCall」とWeb3開発者を対象にした「GhostHire」の2つの悪意あるキャンペーンが確認されています。
  • 偽のZoomやMicrosoft Teams会議を利用した巧妙なフィッシング
    Telegramで接触し、偽の投資会議に誘導。実際の被害者の録画映像を流すなどリアルな演出で信頼感を醸成し、Zoomクライアントの偽アップデートを促して悪意あるAppleScriptを実行させます。
  • 採用詐欺を装ったマルウェア感染
    GhostHireでは、Web3開発者に対しスキル評価を装いGitHubリポジトリのダウンロード・実行を促し、マルウェアを感染させる手口が使われています。
  • AI技術を活用した攻撃の高度化
    攻撃にはAIを活用し、標的の選定や攻撃の精度・効率を向上させていることが特徴です。
  • macOSのセキュリティ機能を巧みにバイパス
    AppleScriptを用いてmacOSのTCC(Transparency, Consent, and Control)を回避し、カメラやマイク、ファイルアクセスの権限をユーザーの許可なしに取得します。

技術的な詳細と背景

GhostCallの偽Zoomサイトはブラウザ上で動作し、ユーザーのカメラ映像を1秒ごとに攻撃者のサーバに送信します。会議中に流れる映像は他の被害者の録画映像であり、深層偽造(Deepfake)技術は使用されていません。偽のZoom SDKアップデートリンクはAppleScriptファイルをダウンロードし、約1万行の空白で悪意あるコードを隠蔽。追加のAppleScriptをcurlコマンドで取得し、偽ZoomやMicrosoft Teamsアプリを一時ディレクトリにインストールします。

さらに、macOSのTCCをバイパスすることで、カメラ・マイク・ファイルアクセス・AppleEventsの自動化権限をユーザーの同意なしに付与。これにより、パスワード管理アプリ(Bitwarden、LastPass、1Password、Dashlane)やメモアプリ、Telegramのデータを収集可能です。Windows版では「ClickFix」という技術を使い、コピー操作時に悪意あるコードをクリップボードに挿入する手法も確認されています。

攻撃者はTelegramで実在の起業家やVCを装い、Calendlyで偽会議をスケジューリング。偽Zoomドメインのリンクを送付し、HTTP GETリクエストでユーザーの行動をリアルタイム監視しながら攻撃の効果を最大化しています。

影響と重要性

この攻撃は特にWeb3/ブロックチェーン業界の開発者や経営層、マネージャーを狙っており、macOSを主に使用する技術系企業やベンチャーキャピタル関係者が大きなリスクにさらされています。Telegramが初期接触の主な手段となっているため、コミュニケーションツールの利用にも注意が必要です。

被害が拡大すると、重要な開発資産や機密情報の漏洩、企業の信用失墜、さらには大規模な金銭的損失に繋がる恐れがあります。攻撃者は被害者の映像を録画し、他の被害者の欺瞞に利用するなど、心理的な罠も巧妙に仕掛けています。

まとめと推奨対策

  • 不審なTelegramメッセージや突然の投資・採用関連の連絡に警戒する。
  • ZoomやMicrosoft Teamsのアップデートは公式サイトやアプリ内からのみ実施し、不明なリンクやファイルのダウンロードは避ける。
  • macOSのTCC設定やAppleScriptの実行許可を厳格に管理し、不要な権限付与を防ぐ。
  • パスワード管理アプリや重要データは定期的にバックアップし、多要素認証を導入する。
  • 企業は従業員に対してフィッシングやソーシャルエンジニアリングの教育を強化し、セキュリティ意識を高める。
  • 最新のセキュリティ情報を参照し、マルウェア検知ツールを活用することが重要です。

今回のBlueNoroffによる攻撃は、Web3業界の急速な成長に伴い狙われやすくなった新たな脅威の一例です。技術的な巧妙さと心理的な罠を組み合わせた攻撃に対し、ユーザーと企業は一層の警戒と対策強化が求められています。

タグ付け処理あり:
security-user

Related Posts

ISCストームキャスト 2025年10月31日版:最新サイバー脅威情報まとめ
2025年11月3日
国家支援ハッカー、新型マルウェア「エアストーク」でサプライチェーン攻撃
2025年11月2日
ルブリックとソフォスが連携、Microsoft 365のサイバー回復力を強化
2025年11月2日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です