TokyoBlackHatNews

gbhackers.com 4分で読了

BlueNoroffがAIで生成されたZoomルアーキャンペーンでファイルレスPowerShellを展開

AIで生成されたディープフェイク技術とファイルレスPowerShellマルウェアで強化された偽のZoomミーティングを通じて、暗号資産の経営幹部を標的とした高度なBlueNoroffキャンペーン。

北朝鮮の国家支援グループは2026年1月に北米のWeb3企業に侵入し、完全にメモリ上で実行される攻撃を通じて66日間にわたって持続的なアクセスを維持した。

このキャンペーンは、正当なミーティングリンクに似たタイポスクワッティングされたZoomドメインを含むCalendlyの招待状を通じたソーシャルエンジニアリングから始まる。

被害者がこれらのリンクをクリックすると、ChatGPTのGPT-4oモデルを使用して生成されたAI参加者と、過去の被害者から流用されたウェブカメラ映像が配置された偽のビデオ会議に入ります。

APT38としても知られ、北朝鮮のLazarus Groupの一部であるBlueNoroffは、RGB情報機関に代わって、これらの金銭目当ての攻撃を実行しています。

偽のミーティングには、実在の人物の盗まれた映像、AI生成のポートレート画像、または合成顔と本物の身体の動きを組み合わせたディープフェイク複合動画のいずれかを示すリアルな参加者タイルが表示されます。

Arctic Wolfは北米のWeb3/暗号資産企業に対する標的型侵入を特定しており、これを高い信頼度でBlueNoroffに帰属させています。

侵害されたTelegramアカウントから脅威行為者が送信したメッセージで、新しいターゲットに「キャッチアップ」ミーティングを開始するためのCalendlyリンク付きで連絡を取っている。

Image

攻撃者のインフラストラクチャの分析により、このディープフェイク制作パイプラインで使用される950以上のメディアファイルが明らかになり、被害者から流出したウェブカメラ映像がAdobe Premiere Proで再処理されて、今後のルアーコンテンツを作成していることが判明した。

ファイルレスPowerShell実行チェーン

被害者が詐欺的なミーティングに参加した後、Zoom SDKの更新が必要だと主張するプロンプトが表示される。

朝鮮標準時(UTC+9)にマッピングすると、オペレータの活動は標準営業時間(約08:00~18:00 KST)、月曜日から金曜日に集中しており、週末の活動は最小限である。

Image

このClickFix攻撃は、ターゲットをだまして悪意のあるPowerShellコードをメモリに直接注入するターミナルコマンドをコピーさせます。

このようなファイルレスマルウェア技術がますます蔓延しており、成功した攻撃の77%が従来のアンチウイルスソフトウェアをバイパスするためにファイルレス悪用を使用しています。

偽のZoomまたはTeamsウィンドウは、被害者の「SDKは廃止されました」と告知し、「今すぐ更新」ボタンを表示します。

Image

この攻撃は5分以内に複数の段階を進行します。Base64とXOR暗号化で難読化されたPowerShellダウンローダーがC2ビーコンを確立し、ブラウザ認証情報スティーラーがAES暗号化されたシェルコードを使用してChromeおよびEdgeプロセスに注入され、Telegramセッションハイジャッキングにより、攻撃者は将来のキャンペーンで被害者になりすますことができます。

すべての実行はメモリ上で行われ、ディスクにファイルを書き込まずに署名ベースの検出を回避します。

標的化と帰属

Arctic Wolfは20カ国以上で100人の被害者を特定しており、その41%は米国にあり、80%が暗号資産またはブロックチェーン分野で働いています。

COM復号化を介したAESキーは、プロファイルを検出し、各プロファイルのログインデータベースにクエリを実行し、認証情報を復号化し、CSV出力を書き込み、その後ブラウザフィンガープリントを抽出します。

Image

CEOと創業者が標的の45%を占め、暗号資産ウォレットと秘密鍵への直接アクセスを持つ個人に対するBlueNoroffの焦点を反映しています。

Lazarus Groupのサブグループは、少なくとも2014年以来金銭的なサイバー犯罪を専門としており、8100万ドルをもたらした2016年のバングラデシュ銀行強盗を含みます。

ディープフェイク制作環境のメタデータの分析により、macOSのユーザー名「king」を使用し、DPRK営業時間中に働くオペレータが明らかになり、活動は平日の朝鮮標準時08:00-18:00の間に集中しています。

インフラストラクチャ分析により、Petrosky Cloud LLC(AS400897)でホストされている80以上のタイポスクワッティングされたZoomおよびTeamsドメインが発見され、これまでに文書化されたBlueNoroffの偽カンファレンスキャンペーンと一致しています。

AIを搭載したソーシャルエンジニアリングとファイルレス実行の組み合わせは、国家支援の暗号資産盗難作戦の進化を表しています。

組織はPowerShell Script Block Loggingを実装し、getUserMedia APIアクセスを制限し、従業員がセカンダリチャネルを通じてミーティングリクエストを検証するようにトレーニングすべきです。

翻訳元: https://gbhackers.com/ai-generated-zoom-lure/

ソース: gbhackers.com
#AI生成ディープフェイク #BlueNoroff #ClickFix #Lazarus Group #PowerShell #Zoom偽装 #ソーシャルエンジニアリング #ファイルレスマルウェア #北朝鮮 #暗号資産

関連記事

Vect 2.0 RaaS、Windows、Linux、ESXiにおける攻撃を拡大

cPanelが重大な認証脆弱性に対する緊急パッチをリリース

Microsoftが4月更新後のリモートデスクトップ警告の問題を確認