GhostCallとGhostHireは、ともに脅威キャンペーンにつけられた名前です。
どちらもBlueNoroffと呼ばれる脅威アクターが進めているものと考えられています。
BlueNoroffは以前から活動が確認されている脅威アクターで、主に金銭的利益を目的とした活動を行ってると考えられています。
時間の経過とともに新たな侵入戦略とマルウェアセットを採用するように活動しており、現時点ではブロックチェーン開発者、経営幹部、Web3/ブロックチェーン業界の管理職を標的としていると考えられます。
2つのキャンペーンの内容を見てみましょう。
- GhostCall
GhostCallは、Telegramなどのプラットフォームを介してターゲットに直接アプローチし、Zoomを模したフィッシングサイトにリンクされた投資関連の会議に潜在的な被害者を招待することで、テクノロジー企業やベンチャーキャピタル部門の幹部のmacOSデバイスを重点的に狙っています。
被害者は、ディープフェイクではなく、この脅威の他の実際の被害者の本物の録音を使った偽のZoomミーティングに参加します。
Zoomミーティングはスムーズに進むように思えるのですが、3~5秒後にエラーメッセージが表示され、Zoomミーティングの継続に関する問題を解決するためにZoomソフトウェア開発キット(SDK)をダウンロードするように促されます。このエラー発生は攻撃者の予定されたシナリオを進めるスクリプトによるものです。
最終的に、スクリプトはZIPファイルをダウンロードし、被害者の利用するホストに感染チェーンを展開します。
このキャンペーンは、日本、イタリア、フランス、シンガポール、トルコ、スペイン、スウェーデン、インド、香港といった地域で確認されています。 - GhostHire
GhostHire は、Web3開発者などの潜在的なターゲットにTelegramでアプローチし、リンクを共有してから30分以内にスキル評価を完了するという口実で、罠が仕掛けられたGitHubリポジトリをダウンロードして実行するように誘い込み、感染の成功率を高めます。
このキャンペーンは、日本とオーストラリアで確認されています。
この脅威アクターはWindowsとmacOSの両方のシステムを標的としたマルウェアを開発しようと継続的に取り組んでいることが確認されています。
攻撃のプロセスは継続的に変更されており、この動きの加速には生成AIも少なからず関係しているものと考えられます。
この脅威アクターの展開する攻撃にさらされると、単純な暗号通貨やブラウザの認証情報の窃取だけでなく、インフラ、コラボレーションツール、メモ作成アプリケーション、開発環境、コミュニケーションプラットフォーム(メッセンジャー)など、幅広い資産から包括的なデータ取得を実行されてしまいます。
注意が必要な脅威アクターの一つです。
Crypto wasted: BlueNoroff’s ghost mirage of funding and jobs
https://securelist.com/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/117842/
| この記事をシェア |
|
|---|
