北朝鮮と関連のある脅威アクターとして知られるBlueNoroffが、Web3セクターの従業員をターゲットに、ディープフェイクを用いた会社幹部を装ったZoom通話で騙し、AppleのmacOSデバイスにマルウェアをインストールさせる手口が観察されています。
サイバー侵入の詳細を明らかにしたHuntressによれば、この攻撃は匿名の暗号通貨財団の従業員をターゲットにしており、従業員はTelegramで外部の連絡先からメッセージを受け取ったとされています。
“そのメッセージは従業員と話す時間を求めており、攻撃者はCalendlyリンクを送ってミーティングの時間を設定しました,” とセキュリティ研究者のAlden Schmidt、Stuart Ashenbrenner、Jonathan Semonは述べました。 “CalendlyリンクはGoogle Meetイベント用でしたが、クリックすると、URLは脅威アクターが管理する偽のZoomドメインにリダイレクトされます。”
数週間後、従業員は会社の幹部のディープフェイクを含むグループZoomミーティングに参加したとされています。
しかし、従業員がマイクを使用できないと述べた際、合成された人物は問題を解決するためにZoom拡張機能をダウンロードしてインストールするよう促しました。Telegramを通じて共有された拡張機能のリンクは、「zoom_sdk_support.scpt」という名前のAppleScriptをダウンロードしました。
このAppleScriptは最初にZoomソフトウェア開発キット(SDK)の正当なウェブページを開きますが、同時にリモートサーバー(”support[.]us05web-zoom[.]biz”)から次の段階のペイロードを密かにダウンロードし、シェルスクリプトを実行します。
スクリプトはまずbash履歴のログを無効にし、次に侵害されたMacにRosetta 2がインストールされているかどうかを確認し、インストールされていない場合はインストールします。Rosettaは、Appleシリコンを搭載したMacでIntelプロセッサ(x86_64)向けに作られたアプリを実行できるようにするソフトウェアです。
その後、スクリプトは「.pwd」という隠しファイルを作成し、悪意のあるZoomウェブページ(”web071zoom[.lus/fix/audio-fv/7217417464″)からバイナリを「/tmp/icloud_helper」ディレクトリにダウンロードします。また、「web071zoom[.]us/fix/audio-tr/7217417464」に別の不特定のペイロードを取得するためのリクエストも行います。
シェルスクリプトはまた、ユーザーにシステムパスワードを提供するよう促し、実行されたコマンドの履歴を消去してフォレンジックの痕跡を残さないようにします。Huntressは、被害者のホストで8つの異なる悪意のあるバイナリを発見したと述べました –
- Telegram 2、主要なバックドアを開始するためのNimベースのバイナリ
- Root Troy V4、リモートAppleScriptペイロードやシェルコマンドを実行し、追加のマルウェアをダウンロードして実行するための完全な機能を持つGoバックドア
- InjectWithDyld、Root Troy V4によってダウンロードされたC++バイナリローダーで、これによりさらに2つのペイロードがドロップされます:プロセスインジェクションを容易にするための無害なSwiftアプリケーションと、オペレーターがコマンドを発行し、非同期で応答を受け取ることを可能にする別のNimインプラント
- XScreen、被害者のキーストローク、クリップボード、スクリーンを監視し、情報をコマンド・アンド・コントロール(C2)サーバーに送信する機能を持つObjective-Cキーロガー
- CryptoBot、ホストから暗号通貨関連ファイルを収集できるGoベースの情報スティーラー
- NetChk、永遠にランダムな数字を生成するように設計されたほぼ空のバイナリ
BlueNoroffは、Alluring Pisces、APT38、Black Alicanto、Copernicium、Nickel Gladstone、Stardust Chollima、TA444などの名前でも追跡されており、Lazarus Groupのサブクラスターで、金融機関、暗号通貨ビジネス、ATMを攻撃し、金銭的利益を得て朝鮮民主主義人民共和国(DPRK)に収益をもたらす歴史があります。
このグループは、ブロックチェーン研究に従事する組織の従業員をターゲットにした悪意のある暗号通貨取引アプリケーションを用いたTraderTraitorとして知られる一連の暗号通貨強盗を指揮したことで最もよく知られています。重要なケースには、2025年2月のBybitのハッキングや、2022年3月のAxie Infinityのハッキングが含まれます。
“リモートワーカー、特にリスクの高い分野で働く人々は、TA444のようなグループにとって理想的なターゲットとなることが多いです,” とHuntressは述べました。 “従業員にリモート会議ソフトウェアに関連するソーシャルエンジニアリングから始まる一般的な攻撃を識別するためのトレーニングを行うことが重要です。”
DTEXの北朝鮮のサイバー構造に関する最新の評価によれば、APT38のミッションはもはや存在せず、TraderTraitor(別名Jade SleetおよびUNC4899)とCryptoCore(別名CageyChameleon、CryptoMimic、DangerousPassword、LeeryTurtle、Sapphire Sleet)に分裂し、新しいクラスターが政権のための金融窃盗の新しい顔となっています。
“TraderTraitorは、暗号通貨窃盗に関してはDPRKのAPTグループの中で最も多産であり、元のAPT38の努力から最も多くの才能を抱えているようです,” とDTEXは述べました。 “CryptoCoreは少なくとも2018年から活動しており、TraderTraitorと共にAPT38から分裂した可能性があります。”
さらに、オーディオ問題をテーマにした誘引を使用して、見込みのある被害者を自分のマシンにマルウェアをインストールさせる手口は、ClickFixスタイルの警告を使用して別のマルウェアであるGolangGhostを配信するContagious Interviewと呼ばれる北朝鮮関連のキャンペーンの進化を反映しています。
新しいバージョンはClickFake Interviewと呼ばれ、偽の求人広告を作成し、応募者を騙して脅威アクターが設定した偽のウェブサイトでの採用評価を完了するために、カメラとマイクのアクセスに問題があるという口実で悪意のあるコマンドをコピーして実行させることを中心に展開しています。
これらのクロスプラットフォーム攻撃は、Cisco Talosによれば、さらに進化し、PylangGhostと呼ばれるGolangGhostのPythonバージョンを使用しています。偽の評価サイトはArchblock、Coinbase、Robinhood、Uniswapなどの有名な金融機関を装い、主にインドにいる少数のユーザーをターゲットにしています。
“最近のキャンペーンでは、Famous Chollimaという脅威アクターが、複数のグループで構成されている可能性があるが、Pythonベースのトロイの木馬を使用してWindowsシステムをターゲットにし、MacOSユーザーにはGolangベースのバージョンを引き続き展開しています,” とセキュリティ研究者のVanja Svajcerは述べました。 “Linuxユーザーはこれらの最新のキャンペーンではターゲットにされていません。”
PylangGhostは、そのGolangのカウンターパートと同様に、C2サーバーと接触を確立し、感染したマシンをリモートで制御し、ファイルをダウンロード/アップロードし、80以上のブラウザ拡張機能(パスワードマネージャーや暗号通貨ウォレットを含む)からクッキーや資格情報を盗むことができます。
“脅威アクターが異なるプログラミング言語を使用して2つのバリアントを作成することを決定した理由や、どちらが先に作成されたのかは明らかではありません,” とTalosは述べました。 “構造、命名規則、関数名は非常に似ており、異なるバージョンの開発者が密接に協力していたか、同じ人物であることを示しています。”
翻訳元: https://thehackernews.com/2025/06/bluenoroff-deepfake-zoom-scam-hits.html