- 国家が支援する攻撃者が暗号資産企業を狙う説得力のある偽ビデオ通話を作成
- クリップボード乗っ取りトリックが無害なコマンドをマルウェア配備コードに置き換え
- この作戦により、認証情報の急速な窃取、永続性、および完全なシステム侵害が可能に
セキュリティ研究者のArctic Wolfが、北米のWeb3および暗号資産企業を狙った極めて高度なキャンペーンの詳細を明かしました。
このキャンペーンは、金銭的に動機付けられた北朝鮮の悪名高いLazarus Groupのサブグループである、国家が支援する脅威アクター「BlueNoroff」によって実施されており、標的デバイスへの永続的なアクセスを確立することを目指しています。
彼らは被害者にコンピュータ自体にマルウェアをインストールさせることでこれを達成していますが、その方法は非常に高度です。
記事は以下に続きます
ClicFixが登場
攻撃の準備中、脅威アクターはWeb3世界から実在する高価値人物を使用し、ChatGPTを使用して説得力のある顔写真を生成し、Adobe Premiere Pro 2021を使用して半アニメーション動画を作成します。
その後、実際のZoomコールページと同じ偽のZoomビデオ通話ウェブサイトを作成し、ビデオを表示してより説得力のあるものにします。
BlueNoroffはその後、Calendlyを通じて実際の被害者を招待し、ほぼ半年先の日付で招待します。これはおそらく、より説得力のあるものにするため、つまり重要な人物は結局のところ非常に忙しいからです。
被害者がZoomリンクをクリックすると、彼らが見慣れているものが表示されます。つまり、ビデオ通話ページで相手側の人物が動いたり、まるで本物であるかのように行動しています。しかし、通話開始から8秒後、画面に「SDKは非推奨です」というメッセージが表示され、「今すぐ更新」ボタンが表示されます。
このボタンは典型的なClickFix手法につながります。「問題を修正」するために、被害者はコマンドをコピーして貼り付ける必要があります。しかし、多くの人がこれらの攻撃を認識するようになったため、BlueNoroffはさらに一歩進めます。コピーされているコードは実は合法で無害です。
しかし、偽のZoomウェブサイトには悪質なJavaScriptアプリケーションが埋め込まれており、「コピー」アクションを処理し、ブラウザのクリップボードイベントをインターセプトし、ユーザーがコピーしたと考えているものを異なるコードに置き換えます。
そのコードが実行されると、デバイスにマルウェアが配備され、システムへのリモートアクセスが確立され、BlueNoroffが認証情報、セッショントークン、その他の機密ビジネスデータを流出させることが可能になり、ネットワーク全体にわたって横方向に移動する能力が付与されます。
「このキャンペーンの技術的実行チェーンは効率的で、運用上の規律を備えています。」Arctic Wolfは述べました。「初期URLのクリックから完全なシステム侵害(C2確立、Telegramセッション盗聴、ブラウザ認証情報の収集、永続性を含む)まで、攻撃者は5分以下で完了しました。」
