BlueNoroffの新たな戦術:幹部層と管理職を狙う
北朝鮮に関連する脅威グループBlueNoroff(別名:Sapphire Sleet、APT38、Alluring Pisces)は、その攻撃戦術を進化させ続けており、主な焦点は依然として金銭的利益にあります。このグループは、Web3およびベンチャーキャピタル分野のCレベル幹部、管理職、ブロックチェーン開発者といった高価値のターゲットを狙い、洗練された新たな侵入手法を採用する戦略に転換しました。セキュリティ研究者たちは、GhostCallとGhostHireと名付けられた2つの異なるキャンペーンを特定しており、これらは攻撃者の高度化と、ソーシャルエンジニアリング技術と高度なマルウェア配信メカニズムの組み合わせを示しています。
GhostCallキャンペーン:巧妙なフィッシング手口
GhostCallキャンペーンは、BlueNoroffの最も欺瞞的な作戦の一つであり、テクノロジー企業やベンチャーキャピタル企業の幹部が使用するmacOSシステムを侵害するために、巧妙に作成されたフィッシング戦術を悪用しています。攻撃はTelegramから始まり、脅威アクターはベンチャーキャピタリストになりすますか、侵害された正規の起業家のアカウントを使用してターゲットと接触します。彼らは魅力的な投資やパートナーシップの機会を持ちかけ、その後Calendlyを使用して、正規のZoomインターフェースを模倣したドメインへのリンクを含む偽の会議をスケジュールします。
これらの悪意のあるドメインにアクセスすると、被害者はZoomの外観を忠実に再現した精巧なインターフェースに遭遇します。このページは、ユーザーにカメラを有効にし、名前を入力するよう促しますが、実際のビデオ通話に参加する代わりに、被害者には3人の参加者とのライブミーティングのように見えるものが提示されます。決定的な欺瞞は、表示されるビデオにあります。多くの被害者が当初信じていたディープフェイクやAI生成コンテンツではなく、これらは以前の被害者から密かにキャプチャされた実際の録画です。攻撃者によって制御されるインフラは、これらのウェブカメラ録画を保存し、新しいターゲットに再生することで、本物の会議であるかのような説得力のある錯覚を作り出します。攻撃者はまた、Telegramのハイパーリンク機能を使用してフィッシングURLを隠し、正規のURLに見せかけることもあります。
偽のビデオ通話からマルウェア感染へ
偽の通話が終了した後、被害者はマルウェアのインストールを目的とした一連のソーシャルエンジニアリング手順に誘導されます。ZoomClutchは、偽のZoomダイアログを表示してmacOSのパスワードを盗み出し、キャプチャした認証情報をC2サーバーに送信します。脅威アクターは、技術的な問題をオーディオの問題にすり替え、ターゲットにZoomクライアントのアップデートと偽装した悪意のあるAppleScriptコードをダウンロードして実行するよう説得します。これにより、初期の侵害から完全なシステム感染へと移行し、スクリプトは被害者のオペレーティングシステムに合わせて調整された多成分マルウェアチェーンを含むZIPファイルをダウンロードします。
GhostHireキャンペーン:Web3開発者を狙う
GhostCallキャンペーンを補完するのがGhostHireであり、これは不正な採用プロセスを通じてWeb3開発者を標的にしています。BlueNoroffのアクターは、正規のリクルーターになりすまし、最初のスクリーニング通話を行った後、潜在的な被害者をTelegramボットに追加します。これらのボットは、技術評価と称して、悪意のあるコードを含むZIPファイルまたはGitHubリポジトリのリンクを配布します。被害者は、タスクを完了するための30分という人工的な時間的プレッシャーに直面し、悪意のあるペイロードの迅速な実行を促されます。マルウェアは、被害者のオペレーティングシステムを識別するユーザーエージェントに基づいて、適切な感染チェーンを自動的に選択します。
高度な機能と情報収集
研究者たちは、両キャンペーンで展開された7つの異なる多成分感染チェーンを特定しており、これらには洗練された情報窃取スイートとキーロガーが伴います。これらのマルウェアコンポーネントは、暗号通貨ウォレットの認証情報、Keychainデータ、OpenAIなどのクラウドサービスのAPIキー、DevOpsインフラの認証情報、ブラウザに保存されたパスワード、Telegramを含むメッセージングアプリケーションからの認証トークンなど、広範な機密情報を抽出します。
BlueNoroffがこれらのキャンペーン全体で人工知能を統合していることは、グループが運用を拡大しつつ、ターゲティングと攻撃実行の精度を維持するための投資を示しています。この組織は、少なくとも2025年4月以降、これらの作戦を実行していることが追跡されており、ソーシャルメディアプラットフォーム全体で継続的に被害が報告されています。セキュリティ研究者たちは、これらの高度に持続的な金銭目的の脅威から、組織のリーダーシップとブロックチェーン内で働く開発者を保護するためには、これらの洗練された戦術を理解することが不可欠であると強調しています。