北韓駭客BlueNoroff從事GhostCall與GhostHire攻擊行動，鎖定Web3及區塊鏈領域而來

北韓駭客鎖定加密貨幣及區塊鏈產業發動攻擊的情況，不時有相關事故傳出，過往他們多半針對Windows用戶下手，現在這樣的策略出現變化。

例如，被稱為BlueNoroff、Sapphire Sleet，以及APT38的北韓駭客組織，資安業者卡巴斯基揭露這些駭客的最新攻擊手段，他們持續針對區塊鏈開發人員、高階主管，以及Web3與區塊鏈業界的經理下手，從事GhostCall與GhostHire兩種型態的攻擊活動，過程中使用相同的惡意程式，攻擊流程的結構也有相似之處，但與過往不同的是，駭客鎖定的平臺出現變化，並透過AI強化攻擊的效果，使得受害者更難察覺異狀。

這兩種型態的攻擊行動當中，其中又以假視訊會議來欺騙使用者的GhostCall最受到關注，卡巴斯基提到這種活動的最大轉變，就是駭客原本鎖定Windows電腦用戶，現在全面轉向攻擊macOS作業系統。

BlueNoroff假冒創投並透過Telegram接觸目標，有時候還會使用真正企業家及新創公司創始人外流的帳號犯案，他們會大肆宣傳投資及合作機會，等到與目標建立關係，他們就會運用線上會議排程系統Calendly安排會議，透過仿造Zoom的網域提供會議連結。此外，駭客偶爾也會運用Telegram內建功能將網釣URL進行偽裝。

一旦使用者依照指示存取連結，他們就會看到模仿Zoom的頁面，要求加入會議，若是進入會議，就會看到有3人參與會議，而這些看似有人參與的情況，卡巴斯基指出是駭客側錄他人視訊鏡頭內容，並在網頁當中播放塑造而成。雖然卡巴斯基特別強調這些與會者的畫面並非透過Deepfake產生，但他們特別提及駭客濫用AI的地方，其中一個是強化與會者照片幾可亂真的程度，駭客盜用社群網站的照片，透過GPT-4o變造，使得照片更符合影片的內容；再者，卡巴斯基在竊資軟體SilentSiphon特定模組當中，發現由AI寫入的註解。

就在上述內容播放結果不久，受害者的電腦螢幕就會出現錯誤訊息，要求必須立即更新Zoom SDK才能正常運作，然而受害者若是照做，電腦就會下載惡意AppleScript指令碼。

接著，該指令碼會下載第二階段的指令碼DownTroy，新的指令碼會從密碼管理工具、筆記工具，以及Telegram挖掘機敏資訊。此外，該碼還會繞過macOS的透明度、同意與控制（TCC）的授權管控機制，並從檔案伺服器下載能觸發其他感染鏈的ZIP檔案。卡巴斯基一共找到至少7種多階段感染鏈，這些感染鏈被用於多種惡意程式。

這些惡意程式包括：冒牌Zoom與Teams應用程式ZoomClutch、TeamsClutch，後門程式CosmicDoor，以及竊資軟體SilentSiphon等。

另一起針對求職者的活動GhostHire，BlueNoroff冒充人資部門對開發人員及工程師下手，佯稱要檢定技能為由，透過Telegram機器人和GitHub來交付惡意項目，相關活動可追溯至今年4月。一旦求職者依照指示操作，BlueNoroff就會根據瀏覽器的使用者代理字串（User Agent），判斷受害電腦類型，下載針對Windows、Linux，以及macOS電腦的指令碼，並部署DownTroy，進一步收集受害電腦的系統資訊，然後植入其他惡意程式。