東京, 2025年11月18日 - (JCN Newswire) - Kasperskyのグローバル調査分析チーム(GReAT)はBlueNoroffの最新のAPT活動として「GhostCall」と「GhostHire」という2種類の高度な標的型攻撃キャンペーンを発表しました。これらの攻撃は少なくとも2025年4月以降、インド、トルコ、オーストラリアをはじめ、ヨーロッパやアジアの国々で、Web3と仮想通貨の組織を標的として継続的に発生しています。
BlueNoroffは悪名高いLazarusグループの下部組織であり、代表的なキャンペーンである「SnatchCrypto」を継続的に拡大しています。SnatchCryptoは、世界中の暗号通貨業界を標的とする金銭目的の攻撃です。今回新たに登場したGhostCallとGhostHireというキャンペーンは、新しい潜入手法とカスタマイズしたマルウェアを利用して、ブロックチェーンの開発者や経営幹部を侵害するというものです。これらの攻撃は、主な標的であるmacOSシステムとWindowsシステムに影響を与えるものであり、共通の指令(C2)インフラストラクチャによって管理されています。
GhostCallキャンペーンはmacOSデバイスを標的としており、まず、対象に応じた内容を変える非常に巧妙なソーシャルエンジニアリング攻撃を仕掛けます。攻撃者はベンチャーキャピタリストになりすましたり、実在する起業家やスタートアップ企業の創業者の侵害されたアカウントを使用したりしてTelegram経由でアプローチし、投資や提携の機会を勧めてきます。被害者はZoomやMicrosoft Teamsを模したフィッシングサイトで偽の投資ミーティングに誘導され、そこで、音声トラブルを修正するためにクライアントを「更新」するよう指示が表示されます。そして、更新を実行すると悪意のあるスクリプトがダウンロードされ、デバイスにマルウェアの感染が広がる、という手口です。
Kaspersky GReATのセキュリティリサーチャーであるリュウ・ソジュン(Sojun Ryu)は、次のようにコメントしています。「このキャンペーンは巧妙かつ慎重に計画された手口を使用しています。攻撃者は偽のミーティングの最中に過去の被害者の映像を再生し、実際の通話でやり取りが行われているように見せかけて、新たなターゲットを巧みに誘導していました。この過程で収集したデータは、最初の被害者に対してだけでなく、後続の攻撃やサプライチェーン攻撃にも悪用され、構築された信頼関係を利用してさらに幅広い組織やユーザーを侵害するのに使用されます。」
攻撃者は7つの多段階実行チェーン(そのうち4つは以前には見られなかったもの)を展開し、暗号通貨窃盗マルウェアやブラウザー認証情報窃盗マルウェア、機密データ窃盗マルウェア、Telegram認証情報窃盗マルウェアなど、カスタマイズした新たなペイロードを配布しました。
GhostHireキャンペーンは、ブロックチェーンの開発者を標的としており、採用担当者を装って攻撃を実行します。被害者は、「スキル評価用」として、マルウェア入りのGitHubリポジトリをダウンロードして実行してしまう、という流れです。GhostHireは、GhostCallキャンペーンと同じインフラストラクチャやツールを使用していますが、手口としてはビデオ通話ではなく、偽の採用活動を通じて現場の開発者やエンジニアにアプローチします。最初に連絡を取った後、被害者はTelegramボットに追加され、ここで、ZIPファイルやGitHubリンクを受け取ります。このとき、タスクの締切も一緒に表記されていますが、この締切も短く設定されています。実行するとマルウェアが被害者のマシンにインストールされ、オペレーティングシステムに合わせてカスタマイズされた形で動作します。
BlueNoroffは生成AIを使用することで、マルウェア開発を加速しているほか、攻撃手法も巧妙化しています。新しいプログラミング言語を導入したり、追加機能を実装したりしているため、検知や分析も複雑になっています。また、攻撃の管理や拡大もさらに効率的に行えるようになるため、攻撃もより複雑で大規模なものになっています。
Kaspersky GReATのシニアセキュリティリサーチャーであるオマール・アミン(Omar Amin)は、次のようにコメントしています。「以前のキャンペーン以降、攻撃者のターゲティング戦略は暗号通貨やブラウザーの認証情報を搾取することだけに留まらず、進化しています。生成AIを使用することでこのプロセスが大幅に高速化されるため、マルウェア開発が簡単になるほか、運用の手間も少なくなります。このようにAIを活用したアプローチにより、使用可能な情報のギャップを埋められるため、より的を絞った標的化が可能になります。侵害したデータとAIの分析能力を組み合わせることで、このような攻撃の対象が拡大していますが、当社の研究が被害の拡大防止に貢献できれば幸いです。」
その他の情報と侵害の痕跡(IoC)については、Securelist.comのレポートを参照してください。
GhostCallやGhostHireなどの攻撃を防ぐ手段として有効な対策を、以下にご紹介します。
- うまい話や投資の提案などには気を付けましょう。特にTelegramやLinkedInなどのSNSから新たに連絡を取ってきた人は、身元を確認しましょう。機密情報が含まれるすやり取りには、必ず、認証済みのセキュアな企業チャネルを使用します。
- 信頼できる連絡先のアカウントが侵害されている可能性がないか考えましょう。ファイルやリンクを開く前に別のチャネルで身元を確認し、必ず公式ドメインからアクセスするようにします。問題解決のために未確認のスクリプトやコマンドを実行することは避けましょう。
- 企業を様々な脅威から守る上で、あらゆる規模や業種の組織を対象としてリアルタイムの保護、脅威の把握、EDRとXDRの調査と対応の機能を提供するKaspersky Next製品ラインのソリューションが役立ちます。現在のニーズと使用可能なリソースに応じて、最も適した製品階層をお選びいただけます。その後サイバーセキュリティ要件に変化があれば別の製品階層に移行することも簡単にできます。
- Compromise Assessment、Managed Detection and Response(MDR)やIncident Responseなど、Kasperskyのマネージドセキュリティサービスを採用しましょう。これらのサービスは、脅威の特定から継続的な保護と修復までのインシデント管理サイクル全体に対応しています。また、検知が難しいサイバー攻撃を阻止し、インシデントを調査するのに役立ち、サイバーセキュリティ担当者が不足している企業では追加の専門知識を得られます。
- 自社の情報セキュリティ担当者が、自社を標的としたサイバー脅威を詳細に把握できるようにしましょう。最新のKaspersky Threat Intelligenceは、情報セキュリティ担当者にインシデント管理サイクル全体にわたる豊富で有意義なコンテクストを提供し、サイバーリスクを適時に特定できるよう支援します。
グローバル調査分析チーム(GReAT)について
2008年に設立されたグローバル調査分析チーム(GReAT)は、Kasperskyの中核をなす業務を担っており、世界各地のAPTやサイバースパイ活動、大規模マルウェア、ランサムウェア、サイバー犯罪者のアンダーグラウンド活動動向を明らかにする活動に取り組んでいます。現在、GReATには世界全体で35人以上のエキスパートが在籍し、欧州、ロシア、ラテンアメリカ、アジア、中東を拠点として活動しています。優秀なセキュリティ専門スタッフがアンチマルウェア研究とイノベーションにおいて当社のリーダーシップを発揮し、比類のない専門知識、情熱、好奇心をもってサイバー脅威の発見と分析に取り組んでいます。
Kasperskyについて
Kasperskyは1997年に設立されたサイバーセキュリティとデジタルプライバシーを専門とするグローバル企業です。これまでに10億台以上のデバイスを新種のサイバー脅威や標的型攻撃から保護してきた、豊富な脅威インテリジェンスとセキュリティの専門知識を駆使して、カスペルスキーは世界中の個人、企業、重要インフラ、政府機関を保護する革新的なソリューションとサービスを継続的に展開しています。当社の総合的なセキュリティポートフォリオには、個人用デバイス向けの最先端のデジタルライフ保護、企業向けの専門セキュリティ製品とサービス、そして高度かつ進化し続けるデジタル脅威に対抗するサイバーイミュニティソリューションが盛り込まれています。当社は、何百万人もの個人および20万社近くの企業のお客様、が最も重要なものを保護できるよう支援しています。詳細については、www.kaspersky.com をご覧ください。
このプレスリリースは、もともと以下のリンクで英語で公開されました。
https://www.kaspersky.com/about/press-releases/kaspersky-bluenoroff-targets-executives-on-windows-and-macos-using-ai-driven-tools
メディア連絡先:
Hao Yung Chung
chung.haoyung@kaspersky.com
免責事項:本プレスリリースに含まれる情報は、発行会社から提供されたものです。すべての記述、意見、およびデータは、情報提供元の会社のものであり、必ずしもJCN Newswireの見解を反映するものではありません。JCN Newswireによる本プレスリリースの配信は、本プレスリリースに含まれる製品、サービス、または主張を推奨または推薦するものではありません。