カスペルスキーのグローバル調査分析チーム(GReAT)は11月18日、BlueNoroffの最新のAPT活動として「GhostCall」と「GhostHire」という2種類の高度な標的型攻撃キャンペーンを発表した。
これらの攻撃は少なくとも2025年4月以降、インド、トルコ、オーストラリアをはじめヨーロッパやアジアの国々で、Web3と仮想通貨の組織を標的として継続的に発生している。発表の概要は以下のとおり。
BlueNoroffは悪名高いLazarusグループの下部組織であり、代表的なキャンペーンである「SnatchCrypto」を継続的に拡大している。SnatchCryptoは、世界中の暗号通貨業界を標的とする金銭目的の攻撃。
今回新たに登場したGhostCallとGhostHireというキャンペーンは、新しい潜入手法とカスタマイズしたマルウェアを利用して、ブロックチェーンの開発者や経営幹部を侵害するというもの。これらの攻撃は、主な標的であるmacOSシステムとWindowsシステムに影響を与えるもので、共通の指令(C2)インフラストラクチャによって管理されている。
GhostCallキャンペーンはmacOSデバイスを標的としており、まず、対象に応じた内容を変える非常に巧妙なソーシャルエンジニアリング攻撃を仕掛ける。攻撃者はベンチャーキャピタリストになりすましたり、実在する起業家やスタートアップ企業の創業者の侵害されたアカウントを使用したりしてTelegram経由でアプローチし、投資や提携の機会を勧めてくる。
被害者はZoomやMicrosoft Teamsを模したフィッシングサイトで偽の投資ミーティングに誘導され、そこで、音声トラブルを修正するためにクライアントを「更新」するよう指示が表示される。そして、更新を実行すると悪意のあるスクリプトがダウンロードされ、デバイスにマルウェアの感染が広がる、という手口になっている。
GhostHireキャンペーンは、ブロックチェーンの開発者を標的としており、採用担当者を装って攻撃を実行する。被害者は「スキル評価用」として、マルウェア入りのGitHubリポジトリをダウンロードして実行してしまう、という流れになっている。
GhostHireは、GhostCallキャンペーンと同じインフラストラクチャやツールを使用しているが、手口としてはビデオ通話ではなく、偽の採用活動を通じて現場の開発者やエンジニアにアプローチする。
最初に連絡を取った後、被害者はTelegramボットに追加され、ここでZIPファイルやGitHubリンクを受け取る。このとき、タスクの締切も一緒に表記されているが、この締切も短く設定されている。実行するとマルウェアが被害者のマシンにインストールされ、オペレーティングシステムに合わせてカスタマイズされた形で動作する。
BlueNoroffは生成AIを使用することで、マルウェア開発を加速しているほか、攻撃手法も巧妙化している。新しいプログラミング言語を導入したり、追加機能を実装したりしているため、検知や分析も複雑になっている。また、攻撃の管理や拡大もさらに効率的に行えるようになるため、攻撃もより複雑で大規模なものになっている。
関連リンク