出典: Smile Studio AP via Shutterstock
北朝鮮の国家支援ハッキング集団ブルーノーロフは、AI生成アバターと実在の人物の盗難映像を使用した偽のズーム会議で暗号資産経営幹部を標的とする、大胆で金銭目的の活動を行っています。これらの会議を通じて被害者にシステムへのマルウェア インストールを強要しています。
Arctic Wolfからの新しいレポートによると、特に悪質な点は、脅威行為者が各被害者からウェブカメラの映像を盗み、その映像を使用してさらに説得力のある偽のズーム会議を作成し、新しい被害者を標的にすることです。
悪質なキャンペーン
Arctic Wolfは、100人以上の個人の盗難画像と映像を発見しました。そのうちほぼ半数は、それぞれの組織のCEO または共同創業者です。脅威行為者はこれらを使用してキャンペーンのおとりとしているようです。
特定された被害者の10人中8人は、暗号資産・ブロックチェーン関連およびこれらに関連する金融セクターのいずれかで事業を展開していました。「この集中度は、ブルーノーロフの単一の運用焦点を強調しています。それは暗号資産、ウォレット インフラストラクチャ、交換プラットフォーム、または投資意思決定権限へのアクセスを持つ個人です」とArctic Labsは今週のレポートで述べています。
Arctic Wolfが調査した1つのインシデントは、米国ベースのWeb3暗号資産企業のシニアエグゼクティブが関与していました。攻撃チェーンは、ファイナンステック・暗号資産セクターの国際コンサルティングおよび法律事務所の法務責任者になりすましたブルーノーロフの関係者が、Calendlyの招待状をターゲットに送信することで開始しました。この「顔合わせ」会議は前年の夏に5か月後(2026年1月)にスケジュールされました。被害者が会議を確認すると、Google Meetのカレンダー招待状が生成されました。その後、脅威行為者はこれを秘密裏に変更し、タイプスクワッティングされたズームURLに置き換えました。
「ターゲットの観点からは、攻撃は正当なビジネス相互作用として始まります。多くの場合、侵害されたTelegramアカウント、Calendlyの招待状、または法務エグゼクティブ、VCパートナー、業界ピアなどの信頼できるコンタクトになりすましたカレンダーワークフローを通じています」とArctic WolfのラボVP、脅威研究・インテリジェンスのIsmael Valenzuelaは述べています。「名目は日常的な会議です。」
Arctic Wolfの調査の被害者が今年1月にリンクをクリックした時、彼らはズーム会議ロビーを説得力を持って模倣するHTMLページにリダイレクトされました。捏造された参加者アバターと事前に記録されたライブ会議を模倣するクリップが含まれていました。被害者がマイクとカメラへのアクセスを許可して偽の会議に参加した時、脅威行為者は秘密裏にウェブカメラフィードをリアルタイムで流出させ始めました。将来の攻撃に使用するためです。
「[被害者は]認識可能な参加者が含まれた現実的な会議インターフェイスを見ます。これには、前の被害者の盗まれたウェブカメラ映像、スクレイピング画像、またはネットワークに合わせたAI生成のヘッドショットが含まれる可能性があります」とValenzuelaは述べています。「会議はアクティブに表示され、参加者タイルが移動し、スピーカーインジケーターがシフトしますが、実際の会話はなく、オーディオはしばしば機能しないように見えます」とValenzuelaは説明しています。
初期クリックから数分以内に完全侵害まで
「会議」開始後、音声エラーを修正するためのようにすぐに、被害者はズームSDKがアップデートが必要であることについてのClickFixプロンプトを受け取りました。被害者がプロンプト指示に対応した時、バックグラウンドで一連のアクション が トリガーされました。それは複数の悪意のあるペイロードが彼らのシステムにインストールされることで終わりました。永続性、コマンド・アンド・コントロール、認証情報収集、暗号資産ウォレットからの盗難、およびTelegramセッション盗難用を含む。Arctic Wolfは、初期クリックから完全なシステム侵害まで、認証情報盗難と永続的なアクセスを含む、5分以内に起こった全体的な侵害後のシーケンスを発見しました。セキュリティベンダーが調査したインシデントでは、ブルーノーロフは被害者環境に66日間の永続性を維持しました。
キャンペーンの最も警戒すべき側面の1つは、攻撃者がいかに「自己強化型ディープフェイク生成パイプライン」を確立したかです。これは、前の被害者から流出したウェブカメラ映像をAI生成画像と組み合わせて、新しい偽の会議コンテンツを作成しました。Arctic Wolfは、攻撃者のメディアホスティングサーバーから950以上のファイルを分析しました。脅威行為者がキャンペーンで3タイプの偽の会議参加者を使用していることを示していました。前の被害者の盗まれた映像、AI生成の静止画像、およびAI生成の顔と実際の人間の身体運動を組み合わせたディープフェイク合成ビデオです。
「攻撃者のインフラストラクチャは広範囲で運用中です」とArctic Wolfは追加しました。例えば、ブルーノーロフは、わずか1つのホスティングプロバイダーで80以上のタイプスクワッティングされたズームおよびTeamsドメインを登録していました。新しいドメインは継続的に追加されています。「VirusTotal で観察された明確なペイロード配信URLの数は、これが孤立した操作ではなく、複数の組織を同時に標的にする持続的なキャンペーンであることを確認しています」とセキュリティベンダーは述べています。
組織にとって、最も重要な教訓は、これが侵害されたアイデンティティを通じてスケーリング するように設計された調整されたソーシャルエンジニアリングキャンペーンであるということです。「従業員は会議リクエストを二次チャネルを通じて確認し、カレンダーリンクを操作がないか検査し、電話中にコマンドを実行することを避けるべきです」とValenzuelaはアドバイスしています。「セキュリティチームは、ウェブカメラとマイクのアクセスを信頼できるドメインに制限し、クリップボード悪用、PowerShellアクティビティ、ブラウザに保存された認証情報への不正アクセスを監視する必要があります。」
