【安全资讯】朝鲜黑客组织BlueNoroff利用Zoom会议深伪技术传播Mac恶意软件

概要：

朝鲜黑客组织BlueNoroff近期通过伪造Zoom会议中的高管深伪视频，诱骗科技公司员工安装针对macOS设备的定制恶意软件。此次攻击不仅展示了该组织在社交工程和恶意软件开发上的高度专业化，还突显了macOS设备在企业环境中日益成为攻击目标的风险。研究人员发现，攻击者的主要目标仍是窃取加密货币，这与该组织过往的攻击模式一致。

主要内容：

BlueNoroff（又名Sapphire Sleet或TA444）是朝鲜的高级持续性威胁（APT）组织，以使用Windows和Mac恶意软件进行加密货币盗窃而闻名。在2025年6月11日的一次攻击中，攻击者通过Telegram联系目标员工，伪装成外部专业人士，并发送了一个伪造的Zoom会议链接。会议中，攻击者使用深伪技术伪造了公司高管的视频，以增加可信度。

在会议中，受害者因麦克风问题被诱导下载一个所谓的Zoom扩展程序。实际下载的是一个AppleScript文件（zoom_sdk_support.scpt），该文件在执行后会打开一个合法的Zoom SDK网页，但随后会下载并执行一个恶意负载。研究人员发现，攻击链中使用了多种恶意二进制文件，包括Nim编写的持久性植入程序、Go编写的后门工具，以及用于键盘记录和屏幕监控的组件。

此次攻击展示了BlueNoroff在技术上的显著进步，包括利用AI深伪技术进行社交工程，以及开发针对macOS的定制恶意软件。Huntress警告称，随着macOS在企业中的普及，针对该操作系统的恶意软件攻击正在增加。企业需提高警惕，加强防护措施，以应对此类高级威胁。