原題: A familiar playbook with a twist: 3AM ransomware actors dropped virtual machine with vishing and Quick Assist
3AMランサムウェア:電話詐称と仮想マシンを駆使した巧妙な攻撃手法の解明
近年、ランサムウェア攻撃はますます高度化しています。特に2024年末から2025年初頭にかけて確認された3AMランサムウェアグループの攻撃は、電話詐称(vishing)や仮想マシンを利用した巧妙な手法で注目を集めています。本記事では、その攻撃の特徴や技術的な詳細、影響と対策について解説します。
主要なポイント
- ターゲットを絞った高度な攻撃:3AMグループは単なる機械的な脆弱性攻撃ではなく、事前調査を行い、Microsoft Teamsを悪用したメール爆撃と電話詐称を組み合わせた手法で標的を狙います。
- 電話詐称(vishing)とリモート支援ツールの悪用:VoIPを使い社内IT部門の電話番号を偽装し、Microsoft Quick Assistを通じてリモートアクセスを取得。これにより内部ネットワークへの侵入を容易にしています。
- 仮想マシンを利用したエンドポイント保護回避:攻撃者はWindows 7の仮想マシンを展開し、その中でトロイの木馬「QDoor」を動作させることで、通常のセキュリティ検知を回避し長期間潜伏しました。
- 多様な横展開技術の使用:PowerShellやWMICを用いてネットワーク内を移動し、多要素認証(MFA)を回避しようとするなど、高度な技術で組織内の権限を拡大しています。
- データ窃取とランサムウェア展開:正規のクラウド同期ツールを悪用して大量のデータを外部に流出させた後、エンドポイント保護のないサーバを足掛かりに3AMランサムウェアを展開しました。
技術的な詳細と背景情報
3AMランサムウェアグループは、Contiグループの解散後に形成されたBlackSuit/Royalランサムウェアのリブランドチームであり、BlackBastaグループとも関連があります。攻撃は以下のような流れで実施されました。
- メール爆撃:標的社員に大量の迷惑メールを送り、注意を引きつけると同時に攻撃の足掛かりを作ります。
- 電話詐称(vishing):VoIP技術でIT部門の電話番号を偽装し、Microsoft Teamsの音声・ビデオ通話で信頼を得てリモート支援ツール「Microsoft Quick Assist」を利用させます。
- 仮想マシンの展開:悪意あるアーカイブをGoogle Drive経由でダウンロードし、QEMUエミュレータでWindows 7仮想マシンを起動。仮想環境内でQDoorトロイの木馬を展開し、Qtネットワーキングライブラリを使ってリトアニアのIPアドレスに接続。
- 横展開と永続化:ドメインサービスアカウントを乗っ取り、PowerShellやWMICを使ってネットワーク内を移動。RMMツール「XEOXRemote」やリモートデスクトップも活用。
- 防御回避:多要素認証(MFA)によりRDP横展開は阻止されたものの、WMICやPowerShellによるコマンド実行は継続。EDRの無効化も試みられましたが阻止されました。
- データ流出:正規のクラウド同期ツールGoodSyncを悪用し、約868GBのデータをBackblazeに流出させました。
- 最終攻撃:エンドポイント保護のないサーバを足掛かりに3AMランサムウェアを展開。
影響と重要性
この攻撃は、単なる脆弱性の悪用にとどまらず、組織の内部プロセスや信頼関係を巧みに利用しています。特にMicrosoft Teamsや電話番号の詐称を用いたvishing攻撃は、従来のメールベースの攻撃とは異なる新たな脅威です。また、仮想マシンを使った攻撃はエンドポイント保護の検知を回避し、長期間にわたる潜伏とデータ窃取を可能にしました。
さらに、多要素認証の導入だけでは十分でなく、PowerShellやWMICのリモート実行を制限・監査しなければ、攻撃者の横展開を防ぐことは困難です。クラウド同期ツールの悪用も示すように、正規ツールの監視強化も必要です。
まとめ
3AMランサムウェアグループの攻撃は、電話詐称や仮想マシンの悪用など多層的で高度な手法を駆使しており、組織のセキュリティ対策の再考を促します。対策としては、リモート支援ツールの管理強化、多要素認証の徹底に加え、PowerShellやWMICの利用制限、エンドポイント保護の全デバイス導入、そしてクラウド同期ツールの監視が不可欠です。
組織はこのような高度な攻撃に備え、従業員教育やログ監視体制の整備を進め、侵入の早期発見と被害の最小化を目指す必要があります。
