ブルーノロフはClickFix、ファイルレスPowerShell、AI生成偽Zoomミーティングを使用してWeb3セクターを狙う

概要

BlueNoroffは、北朝鮮関連のLazarus Groupの財政動機があるサブグループで、北アメリカのWeb3および暗号通貨会社に対する標的侵入を行いました。攻撃者はClickFix技術、ファイルレスのPowerShell実行、AI生成の偽Zoomミーティング招待状を組み合わせて初期アクセスを確保し、環境内でのリーチを拡大しました。この作戦は、暗号通貨窃盗を支援するために設計された社会工学と生活の活用戦術の成熟したブレンドを強調しています。

調査

Arctic Wolfのアナリストは、異常なPowerShell活動とAI生成コンテンツで強化された悪意のあるZoomミーティングリンクを特定した後、侵入を検出しました。追加の証拠は、ClickFixの配信方法とファイルレス実行を示し、従来のウイルス対策防御を回避しようとする明確な試みを示しています。BlueNoroffへの帰属は、観察されたツール、運用行動、およびLazarus Groupの活動に古くから関連する職人技のパターンに基づいていました。

緩和策

組織は、Zoomや他の会議プラットフォームに多要素認証を要求し、不要なPowerShellリモートを制限し、疑わしいClickFix関連のバイナリを注意深く監視する必要があります。メールセキュリティコントロールも強化され、AI生成のフィッシング誘導をキャッチできるようにするべきであり、ユーザーは予期しない会議招待を検証するよう訓練されるべきです。

対応策

この活動が検出された場合は、直ちに影響を受けたエンドポイントを隔離し、揮発性メモリをキャプチャし、PowerShellログとClickFix関連のアーティファクトのフォレンジック分析を実施してください。侵害された資格情報は無効にし、機密な秘密を回転させ、暗号通貨窃盗の可能性に対するインシデント対応手順を起動する必要があります。関連する指標も業界ISACと共有され、検出が最新の発見を反映するように更新されるべきです。