関連インシデント
北朝鮮と関係のあるグループBlueNoroffによる新たなサイバー攻撃キャンペーンが発覚しました。この攻撃は、Web3業界の従業員を標的としており、ディープフェイクのZoom通話とmacOSマルウェアを悪用していました。セキュリティ研究者は、この事件は国家によるフィッシング攻撃の巧妙化を反映していると述べています。
Zoomには偽の幹部、Macには本物のマルウェア
サイバーセキュリティ企業によると、この攻撃は会議のスケジュール設定を促すTelegramメッセージから始まりました。Calendlyの招待は正規のものに見えましたが、攻撃者が管理する悪意のあるZoom類似サイトにリダイレクトされました。
数週間後、この従業員は、AIによって生成された自社幹部のディープフェイクが映し出された偽のZoom会議に参加しました。音声の問題を報告すると、攻撃者はTelegram経由でいわゆる「Zoom拡張機能」を共有しました。このファイルは実際には悪意のあるAppleScriptで、ステルスマルウェアの連鎖を引き起こしました。
このスクリプトは、サポートツールに偽装したバックドアを含む、偽のZoomドメインからさらなるペイロードをダウンロードしました。このマルウェアは、ユーザーログをバイパスし、AppleのRosetta翻訳レイヤーをチェックし、追加のマルウェアをインストールするためにシステムパスワードを要求しました。
バックドアの武器庫にはキーロガーと暗号窃盗ツールが含まれています
Huntressは、感染したMac上で8つの独自のマルウェアコンポー�ネントを発見しました。
- バックドアを起動するNimベースのバイナリ
- Root Troy V4(AppleScriptとコマンドを実行するGoベースのインプラント)
- InjectWithDyld(追加のインプラントとSwiftアプリをドロップするローダー)
- XScreen(クリップボードと画面データもキャプチャするObjective-Cキーロガー)
- CryptoBot(暗号ウォレットデータを探し出し、盗み出す)
- NetChk(無限の乱数を生成するおとりアプリ)
すべてのトラフィックは、Zoomドメインを模倣したC2インフラストラクチャを経由してルーティングされました。
BlueNoroffはAPT38、TA444、TraderTraitorとしても追跡しており、北朝鮮のLazarusグループに属し、金銭目的の攻撃で知られています。過去の攻撃としては、Axie Infinityのハッキング(2022年)やBybitの侵害(2025年)などが挙げられます。
偽の求人広告がクロスプラットフォーム攻撃を助長
今回の攻撃は、「Contagious Interview」や「ClickFake Interview」詐欺で使用された手法を模倣しています。これらのケースでは、攻撃者は採用担当者を装い、ウェブカメラやマイクの問題を解決すると偽装して、被害者を騙して悪意のあるスクリプトを実行させていました。
Cisco Talosによると、新しいバージョンではGolangGhostのPython版(現在はPylangGhostとして知られています)が使用されているとのことです。これらのトロイの木馬はWindowsとmacOSのユーザーを標的とし、80以上のブラウザ拡張機能やパスワードマネージャーから認証情報とCookieを収集します。インドの被害者が主な標的であったと報告されています。
偽サイトは、Coinbase、Robinhood、Uniswapなどの大手暗号資産ブランドを装い、求職者に偽の採用評価の一環としてマルウェアを実行させようとしていました。
セキュリティ研究者は、これらの攻撃の背後には、おそらく傘下のグループである脅威アクターFamous Chollimaがいると考えている。