GhostCallとGhostHireが偽の投資家ミーティングや偽のリクルーター試験を利用し、ブロックチェーンやWeb3の専門家にクロスプラットフォーム型マルウェアを配布
北朝鮮と連携する脅威アクターBlueNoroff(別名APT38、TA444)は、「GhostCall」と「GhostHire」と名付けられた2つの新たなキャンペーンで再び姿を現し、経営幹部やWeb3開発者、ブロックチェーンの専門家を標的にしています。
KasperskyのSecurelist研究者によると、これらのキャンペーンはTelegramやLinkedInなどのプラットフォームを利用したソーシャルエンジニアリングに依存しており、偽のミーティング招待を送り、最終的に多段階のマルウェアチェーンを配信してmacOSやWindowsのホストを侵害します。
BlueNoroffは、北朝鮮の国家支援サイバー部隊であるLazarus Groupの金銭目的のサブグループであり、偵察総局(RGB)と関連付けられています。長期にわたるSnatchCryptoキャンペーンを運営していると考えられており、GhostCallとGhostHireはその最新の拡張と見られています。
研究者らは、新たなキャンペーンがBlueNoroffのモジュール型マルウェア、クロスプラットフォーム脅威、そしてブロックチェーン分野への高度に特化した標的化へのシフトを浮き彫りにしていると指摘しています。マルウェアサンプルはGo、Rust、Nim、AppleScriptなど複数のプログラミング言語で記述されており、グループの活動にさらなる技術的層が加わっていることを示しています。
偽の「投資家ミーティング」を通じた侵害
GhostCallキャンペーンでは、BlueNoroffはベンチャーキャピタリストやスタートアップ創業者になりすまし、ブロックチェーンプロジェクトへの「投資」を持ちかけます。攻撃者はZoomやTeamsなどのプラットフォームで偽のビデオ会議を設定し、被害者に正当性があると誤信させます。
これらの通話中または通話後、被害者は接続品質を向上させるための「アップデート」や「プラグイン」のインストールを求められます。当然ながらそのファイルは悪意のあるものであり、DownTroy、CosmicDoor、Rootroyなどのインプラントチェーンを起動し、それぞれ認証情報の窃取、キーロギング、永続化などの専門的なタスクを実行します。
一度ターゲット環境に侵入すると、マルウェアは暗号通貨ウォレットデータ、SSHキー、プロジェクト認証情報など、金銭的窃盗や企業インフラ内での横移動を可能にするあらゆる情報を探し出します。また、機密プロジェクトデータをBlueNoroffのサーバーに抽出するための情報流出ルーチンも展開され、しばしばカスタム暗号化や16進数エンコードで難読化されて検知を回避します。
Securelistの研究者は、GhostCallがこれまでのBlueNoroffの活動と比べて運用上のステルス性が大きく向上していると強調しています。攻撃者は複数の段階的なステージングや動的なコマンド&コントロールの切り替えを利用し、マルウェアが暗号通貨関連ディレクトリや開発者ツールでの活動を検知するまで休止状態を保つことができます。
本物のマルウェアを持つ偽リクルーター
GhostHire作戦は異なるアプローチを取り、偽の求人オファーやリクルートテストを通じてWeb3開発者を標的にします。ここでBlueNoroffは偽の開発課題を設定し、多くはGitHub上にホストされたり、Telegramボット経由で共有されたりします。「このキャンペーンの過去の攻撃事例に基づき、TelegramとGitHubを利用したこの攻撃フローが今年4月までに始まった最新フェーズであると中程度の確信を持って評価しています」と研究者らは述べています。
被害者は潜在的な雇用主のための「コーディングチャレンジ」を完了するよう指示されますが、実際にはマルウェアが含まれたZIPアーカイブやGitリポジトリを受け取ります。実行されると、GhostHireは被害者のOS(macOSまたはWindows)を判別するシステム偵察モジュールを展開し、その後適切なペイロードを選択的にダウンロードします。
これらのペイロードはGhostCallのツールと同じモジュール型のDNAを共有しており、権限昇格、認証情報の取得、バックドアの設置を目的としています。研究者らは、ソーシャルエンジニアリングの手法が特に巧妙であり、攻撃者がペイロードを配信する前に被害者の信頼を得るため、1週間以上にわたりやり取りを続けることもあると指摘しています。最近では、BlueNoroffとその親組織であるLazarus Groupは、15億ドル規模のBybitハッキング、npmサプライチェーン攻撃、およびブロックチェーン開発者を標的としたMac向けマルウェアなど、活動を拡大しています。
