BlueNoroff脅威集団は、サイバー犯罪を長らく洗練された事業へと変貌させ、数千万ドル、暗号資産の準備金、さらには金融エコシステム全体を、ハイリスクな「戦利品」として狙ってきました。Picus Securityによる包括的な調査資料は、同集団の軌跡を丹念に追っています。従来型の銀行機関に対する大胆な襲撃から出発したBlueNoroffは、段階的に進化を遂げ、世界の暗号資産市場、Web3関連組織、そして ソフトウェア開発者にとっても、最も手強い脅威の一つとなりました。
ラザルス・グループの金銭目的の部門として認識されるBlueNoroffは、2016年にバングラデシュ中央銀行強奪事件で重要な役割を果たし、悪名を高めました。SWIFTインフラに侵入した攻撃者は、8100万ドルの資金流出に成功し、記録に残る歴史の中でも最も衝撃的なサイバー窃盗の一つを演出しました。その後、この集団は欧州の金融機関を標的にする方向へ転じ、さらに2017年にはSnatchCryptoキャンペーンを通じて暗号資産セクターを食い物にするべく、焦点を再調整しました。
2018年、ハッカーは架空のIT企業をでっち上げ、後に悪意あるアップデートによって乗っ取られる「正規の」ソフトウェアを流布し始めました。近年では、macOSユーザーとWeb3プロジェクトに照準を定めています。GhostCallおよびGhostHire作戦では、攻撃者が採用担当者やベンチャーキャピタリストになりすまし、偽の面接やサミットを実施して、経営層やエンジニアの端末を侵害しました。2025年までに同集団の戦術はさらに先鋭化し、公式のGoリポジトリ内に悪性ペイロードを公開するサプライチェーン攻撃や、マルウェアをMicrosoft Teamsアプリケーションに偽装する手口まで含まれるようになりました。
その手法の中核にあるのは、徹底した偵察です。LinkedInやその他のソーシャルプラットフォーム上のプロフィールを精査することで、ハッカーはもっともらしい偽名を作り上げ、Telegram、インスタントメッセージ、偽造されたビデオ会議ポータルを介して被害者に接触します。標的は技術課題、面接、あるいは投資提案で誘い込まれ、結果として意図せずマルウェアのインストールを手助けしてしまいます。
BlueNoroffの技術的レパートリーは驚くほど多彩です。Rust、Go、Pythonで作られたモジュール型マルウェアを展開し、macOS上での実行にはAppleScriptやシェルスクリプトを活用します。戦略には、ブラウザ拡張機能の乗っ取り、オートラン機構による永続化、悪性ファイルをシステムプロセスに偽装して紛れ込ませる手口が含まれます。データ流出を容易にするため、欺瞞的なパスワード入力プロンプト、偽造されたシステム警告、そしてクラウドサービスのキーや暗号資産ウォレットを探し出すよう設計された秘匿型の認証情報収集ツールを用います。
唯一の目的は資金です。この集団はデジタル通貨と金融テレメトリーの窃取を体系的に追求し、複雑なAPT(Advanced Persistent Threat:高度持続的脅威)侵入を大規模詐欺の道具へと変換します。専門家は、BlueNoroffを世界でも最も高度に進化したサイバー敵対者の一つだと主張しています。銀行インフラへの攻撃から、巧妙なソーシャルエンジニアリング、サプライチェーンの破壊工作、詐欺的な採用活動を掌握するまでの進化は、技術・心理・欺瞞が交差する、サイバー犯罪の「産業化」を浮き彫りにしています。2024年から2025年にかけて活動が活発化していることを踏まえると、その勢いが衰えていないことは明らかです。
翻訳元: https://meterpreter.org/the-high-stakes-heist-how-bluenoroff-ai-driven-attacks-are-draining-web3/
