BlueNoroff APT 組織針對加密產業的開發者與高階主管,發動了兩項攻擊行動。
GhostCall 與 GhostHire —— BlueNoroff 的兩項攻擊行動
Kaspersky 全球研究與分析團隊(GReAT)的專家在 2025 年「安全分析師峰會」(Security Analyst Summit)上,分享了關於 BlueNoroff APT 組織 的最新調查成果。我們推測 BlueNoroff 是著名駭客組織 Lazarus 的一個分支。這次研究特別介紹了兩個專門鎖定加密產業開發者與主管的行動:GhostCall 和 GhostHire。
BlueNoroff 的主要目的是財務獲利,目前的攻擊對象多為區塊鏈相關企業的員工。他們的攻擊準備非常周密,每次出手前都會精心挑選目標。雖然 GhostCall 與 GhostHire 的攻擊手法差異很大,但兩者共用相同的管理基礎架構,因此我們將它們合併分析並撰寫成一份完整報告。
GhostCall 行動
GhostCall 主要針對企業高階主管發動攻擊。駭客會試圖在受害者電腦中植入惡意程式,以竊取加密貨幣、登入憑證以及其他敏感資料。
值得注意的是,GhostCall 特別偏好攻擊 macOS 系統,推測原因是蘋果裝置在企業主管族群中相當普及。
GhostCall 的攻擊通常以精心設計的社交工程開場。駭客會假冒投資人(有時甚至會盜用真實創業家的帳號,或剪輯真實的視訊會議片段),嘗試安排線上會議討論合作或投資機會。接著,他們會誘導受害者進入一個偽裝成 Microsoft Teams 或 Zoom 的網站。
這個網站會顯示提示訊息,聲稱需要更新應用程式或修復技術問題,並要求使用者下載並執行某個檔案。當受害者執行該檔案後,電腦就會遭到感染。
目前在這次行動中至少觀察到 七種不同的感染鏈,其中有四種是首次發現。更詳細的技術分析與入侵指標(IoC),可在 Securelist 官方部落格 查閱。
GhostHire 行動
GhostHire 的攻擊對象則是區塊鏈開發人員。最終目的同樣是感染受害者電腦,不過手法完全不同。這次駭客假借求才招聘為名,提供看似誘人的工作機會。
在洽談過程中,他們會給受害者一個 Telegram 機器人的帳號,並透過該機器人發送 GitHub 測驗任務 的連結,或提供壓縮檔下載。為了讓受害者來不及懷疑,這些測驗往往設定了很緊迫的截止期限。當開發者執行測驗內容時,電腦即被植入惡意程式。
GhostHire 行動中使用的惡意工具與入侵指標,也同樣可以在 Securelist 部落格 查閱。
如何防範 GhostCall 與 GhostHire 攻擊?
雖然這兩項攻擊主要鎖定特定的開發者與公司主管,但駭客真正關心的,是整個公司的工作基礎架構。因此,防禦責任應該由企業資安團隊主導。
Kaspersky 建議:
- 定期提升員工資安意識:讓所有同仁了解現今駭客常用的詐騙與社交工程手法。訓練內容應依照部門與職務特性設計,例如針對開發人員與主管的不同風險情境。
可使用專業線上培訓平台,如 Kaspersky 自動化資安意識訓練平台(Automated Security Awareness Platform) 來進行。 - 在所有公司設備上部署現代化資安防護方案:特別是員工與外部聯繫、開會、接收檔案的裝置,務必安裝可信任的安全軟體,以降低感染風險。
資料來源 : https://www.kaspersky.com/blog/bluenoroff-ghostcall-ghosthire-lazarus/54681/