BlueNoroffとは
BlueNoroffは、2010年から活動している東アジアの特定国のLazarus Groupに属する金銭目的のサブグループであり、最近ではGhostCallおよびGhostHireと呼ばれるキャンペーンを展開しています。
GhostCallは主にテクノロジー分野関係者やベンチャーキャピタリストなどのmacOSユーザーを標的とし、Telegramを用いたソーシャルエンジニアリングやZoomを模倣したフィッシングサイトを活用します。一方、GhostHireはWeb3開発者を標的とし、リクルーターを装いGitHubを介してマルウェアを拡散します。主な標的には、日本、イタリア、フランス、シンガポール、トルコ、スペイン、スウェーデン、インド、オーストラリアにおける暗号資産、Web3、金融機関が含まれます。
攻撃者は初期アクセスのため、ベンチャーキャピタリストを装うか、侵害された起業家アカウントを使用し、Telegramやフィッシングメールを通じて被害者を偽のZoom会議に誘導します。別のケースでは、上級リクルーターを装う手法も確認されています。通話中、被害者にはエラーが表示され、AppleScriptの更新を装ったファイルのダウンロードを促されます。このファイルはスクリプトをインストールし、偽のZoomクライアントおよびDownTroyマルウェアを取得します。リクルーター型攻撃では、標的をTelegramボットに追加し、コーディングプロジェクトを装ったZIPファイルを送付します。これを実行するとGitHubパッケージが起動してOSに応じたペイロードがドロップされます。
永続化はplistファイルを使用した自動起動設定により実現されます。認証情報入力画面を表示してシステムパスワードを取得し、権限昇格を行うとともに、攻撃者はmacOSのTCC.dbを操作し、Windows環境ではUACを回避してより広範なアクセスを獲得します。マルウェアはランチャー、ローダー、インジェクター、ドロッパーなどで構成され、アドホック署名が施されシステムファイルに偽装されています。
また、一部のスクリプトでは空行を利用した難読化技術が使用されています。スティーラー群やbashスクリプトによってブラウザ、パスワードマネージャ、ブロックチェーンウォレットから認証情報が抽出されます。モジュール型ペイロードはシステムおよびユーザーのメタデータを収集します。リモート制御は暗号化されたWSSを通じて維持され、抽出されたデータは圧縮された後、cURLやbashスクリプトを使用して送信されます。
BlueNoroffはカスタマイズされたツールと多段階ペイロードを活用しており、そのモジュール性と動的な能力の高さを示しています。そのため、これを軽減するには、プロアクティブかつ多層的な防御が必要です。
推奨される対策
- 環境内のIoC(侵害の兆候)を監視し、異常を特定する。
- OEMの指示に従ってWindows環境を最新バージョンにパッチ適用し、多要素認証で保護する。
- 盲点や改善点を明らかにするため、包括的な全方位の脅威アセスメント演習を実施する。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。
