北朝鮮ハッカーがZoom会議でディープフェイクの企業幹部を操り、Macマルウェアをインストールさせる | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > 北朝鮮ハッカーがZoom会議でディープフェイクの企業幹部を操り、Macマルウェアをインストールさせる

デイリーサイバーアラート

AI

Silobreaker-CyberAlert

ディープフェイク

北朝鮮ハッカーがZoom会議でディープフェイクの企業幹部を操り、Macマルウェアをインストールさせる

佐々山 Tacos

佐々山 Tacos

2025.06.19

北朝鮮ハッカーがZoom会議でディープフェイクの企業幹部を操り、Mac向けマルウェアをインストールさせる

BleepingComputer – June 18, 2025

北朝鮮のハッキンググループBlueNoroffがZoomミーティングを用いる攻撃においてディープフェイク映像で企業の経営幹部になりすまし、ターゲット従業員にカスタムmacOSマルウェアをインストールさせていたという。Huntressの研究者がこのインシデントの調査を行い、攻撃の流れやマルウェアの詳細などをブログ記事で解説している。

BlueNoroffは北朝鮮のAPTサブグループで、TA444、Sapphire Sleet、COPERNICIUM、STARDUST CHOLLIMA、CageyChameleonの呼称でも知られる。同国政府の支援を受けていると考えられ、遅くとも2017年から暗号資産窃取を主な目的にサイバー攻撃を行ってきたとされる。

Huntressは、2025年6月11日にパートナーからエンドユーザーが悪意あるZoom拡張機能をダウンロードした疑いがあるとの連絡を受け、対応と調査を開始。分析の結果、攻撃がBlueNoroffによるものと考えられることや、被害者ユーザーはすでにこの数週間前にフィッシングルアーを受け取っていたことなどが判明したという。

この攻撃のターゲットとなったのはあるテック企業の従業員で、外部の専門家を装う攻撃者が同従業員にTelegramで接触し、ミーティングの実施を要求。その上で一見するとGoogle Meetのセッションに思えるCalendlyのリンク(しかし実際にはこのリンクは攻撃者が制御する偽Zoomドメイン)を含むメッセージを送りつけたという。これは、北朝鮮のアクティビティクラスター「Elusive Comet」によるものとされる4月に観測された別の事例と同様の戦術だとされる。

その後ターゲット従業員がこのZoomミーティングに参加すると、攻撃者によりディープフェイクで作り出された当該従業員の勤め先企業の経営層の映像を目撃することに。攻撃者はさらに社外の関係者数人のディープフェイク映像も使用して信憑性を高めようとしていた。ミーティングの過程でターゲットはマイクが機能しなくなるという問題に遭遇。ディープフェイクの参加者たちは「この問題を解決できるZoom拡張機能」とされるものをダウンロードするようアドバイスし、Telegramでターゲットにダウンロードリンクを送付した。被害者はこのリンクから悪意あるAppleScriptファイルをダウンロードしてしまったという。

Huntressに調査依頼が来た時点までに、すでに最終段階のペイロードが展開済みだったとされるが、分析の結果同社の研究者らは侵害されたホスト上で8つの異なる有害バイナリを発見している。マイナーなツール類を除くと、以下のMacマルウェアが今回の攻撃で使われていたという。

  • Telegram 2:正規のテレグラム更新ツールに偽装されたNimベースの永続化インプラント。マルウェアチェーンのほかのコンポーネントのためのエントリーポイントとして機能する。バイナリは有効なテレグラム開発者証明書で署名されており、これにより検出を回避。
  • Root Troy V4:Goベースのバックドアで、リモートコード実行やスリープ時のコマンドキューイング、追加ペイロードのダウンロードの機能を持つ。
  • a(InjectWithDyld):第2段階のローダーで、パスワードから導出されたAESキーを使用して暗号化されたインプラントを復号し、メモリに注入する。プロセス注入にはmacOS固有のAPIを使用し、使用後に自身の痕跡を消去するアンチフォレンジック機能を備える。
  • XScreen(keyboardd):キーストロークの記録、スクリーンの録画、クリップボードのモニタリングを行う監視用コンポーネント。バックグラウンドで常に動作し、収集したデータをC2サーバーに送信する。
  • CryptoBot(airmond):Goで書かれた暗号資産に特化したインフォスティーラー。20を超える種類のウォレットプラットフォームに対応し、機微なデータを抜き取ってローカルの暗号化されたキャッシュに保存する。

BlueNoroffはこの攻撃におけるソーシャルエンジニアリング手法にAIディープフェイクを取り入れ、カスタムのmacOSマルウェアを利用するなど、その巧妙さが増し続けていることが示されている。macOSがエンタープライズ環境で幅広く採用されるようになり、脅威アクターによるmacOS向けマルウェアの開発も活発になっているものの、Huntressは、多数のMacユーザーが自身はマルウェアに狙われる可能性は低いだろうと油断していることを指摘。「Macデバイスを保護することは今後常に重要となる」と述べた。

関連記事

デイリーサイバーアラート

Silobreaker-CyberAlert

北朝鮮のBlueNoroff、新マルウェアObjCShellzを用いたmacOSのハッキングに関与か

佐々山 Tacos

佐々山 Tacos

2023.11.08

Silobreaker-CyberAlert

【無料配布中!】ディープ&ダークウェブ関連レポート

弊社が作成したレポートディープ&ダークウェブにおけるSNSアカウント売買とディープフェイクを無料配布中です!

ネット上の匿名性を悪用した不正や犯罪が日本においても大きな脅威となる中、弊社アナリストが過去 1 年間のディープ & ダークウェブ上の投稿データを調査。「SNS アカウント売買」「ディープフェイク」という切り口から、ネット上の匿名性を悪用する脅威アクターらの実態をレポートにまとめました。

無料ダウンロードはこちらのバナーから:

レポートの内容

第1章:アカウント売買・貸与

  • 中国語アカウントマーケット
  • 英語 Black Hat SEO 関連フォーラム
  • 英語「デジタル権利マーケット」
  • ロシア語 SMM ツールフォーラム
  • 英語暗号資産関連フォーラム
  • ロシア語ハッキングフォーラム

第2章:ディープフェイク

  • DDW で言及されたディープフェイク
  • ディープフェイク関連の特筆すべき投稿

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ