Home / クラウドセキュリティ / 3AMランサムウェア、仮想マシン展開とTeams偽装通話で侵入試行

3AMランサムウェア、仮想マシン展開とTeams偽装通話で侵入試行

2025年10月31日

出典: Sophos Security Operations – https://news.sophos.com/en-us/2025/05/20/a-familiar-playbook-with-a-twist-3am-ransomware-actors-dropped-virtual-machine-with-vishing-and-quick-assist/

原題: A familiar playbook with a twist: 3AM ransomware actors dropped virtual machine with vishing and Quick Assist

3AMランサムウェアによる仮想マシン展開とMicrosoft Teams偽装通話を用いた新たな侵入手法

2024年末から2025年初頭にかけて、3AMランサムウェアグループがMicrosoft Teamsの偽装通話や仮想マシン展開を組み合わせた高度な攻撃を実施しました。本記事では、Sophosの調査に基づく攻撃の詳細とその技術的背景、影響、そして防御策について解説します。

主要なポイント

  • 攻撃手法の複合化:3AMはメール爆撃による大量迷惑メール送信と、Microsoft Teamsを使った電話詐称(vishing)を組み合わせ、標的組織のIT部門を装ってリモートアクセスを獲得しました。
  • 仮想マシン上でのマルウェア展開:攻撃者はGoogle Driveからマルウェアをダウンロードし、QEMUエミュレータ上にWindows 7の仮想マシンを起動。仮想環境内でQDoorトロイの木馬を設置し、Sophosの検知を回避しました。
  • 多層的な横展開と持続的アクセス:ドメインサービスアカウントを乗っ取り、PowerShellやWMICを駆使してネットワーク内を横展開。さらに商用リモート管理ツールを導入し、持続的なアクセスを確保しました。
  • データ窃取とランサムウェア展開:GoodSyncを利用して約868GBのデータをクラウドにアップロードし、最終的に保護されていないサーバーを足掛かりに3AMランサムウェアを展開しました。
  • Contiグループの影響:3AMは解散したContiグループのコアメンバーに関連し、同グループのプレイブックやツールを活用していることが判明しています。

技術的な詳細と背景情報

3AMランサムウェアグループの攻撃は、まず標的社員に対して短時間で大量の迷惑メールを送る「メール爆撃」から始まります。続いて、Microsoft Teamsの通話機能を悪用し、組織のIT部門の電話番号を詐称して電話をかけ、被害者にMicrosoft Quick Assistというリモート支援ツールを使わせてリモートアクセスを獲得しました。

攻撃者は偽のドメイン「msquick[.]link」を経由してGoogle Driveからマルウェアをダウンロード。VBSスクリプトを使い、QEMUエミュレータ上にWindows 7の仮想マシンを起動し、その中にQDoorトロイの木馬を設置しました。QDoorはQtネットワーキングライブラリを利用し、リトアニアのIPアドレスと通信する特徴があります。

仮想マシン内での活動により、Sophos XDR(エンドポイント検知・対応)を回避。攻撃者はドメインサービスアカウントを乗っ取り、PowerShellやWMIC(Windows Management Instrumentation Command-line)を用いてネットワーク内を横展開し、新規管理者アカウントの作成やリモートデスクトップ(RDP)の有効化も試みました。

また、商用のリモート管理ツール「XEOXRemote」を導入し、持続的なアクセスを確保。多要素認証(MFA)が導入されている環境ではRDPによる横展開は阻止されましたが、WMICやPowerShellを利用したコマンド実行は継続されました。攻撃者はMFAやSophosのエンドポイント保護の無効化も試みましたが失敗しています。

データ窃取にはGoodSyncというクラウド同期ツールを悪用し、約868GBの重要データをクラウドへアップロード。さらに追加のバックドア展開やRDP横展開を試みましたが、Sophosの防御により阻止されました。最終的には保護されていないサーバーを足掛かりに3AMランサムウェアを展開しました。

影響と重要性

この攻撃は、単なる技術的侵入だけでなく、高度な社会工学的手法を組み合わせている点が特徴です。Microsoft Teamsの偽装通話やリモート支援ツールの悪用により、従来のメールフィルタリングやエンドポイント保護だけでは防ぎきれない複雑な攻撃となっています。

また、Contiグループの解散後もそのプレイブックやツールが引き継がれ、3AMやBlackSuit/Royal、BlackBastaといった新たなランサムウェアグループによって活用されていることは、サイバー犯罪組織の進化と連携の一端を示しています。

多要素認証の導入がRDP横展開を阻止した一方で、PowerShellやWMICを使った攻撃は継続されたことから、多層的な防御策が必要であることが明確です。さらに、仮想マシンを用いたSophos XDR回避など、攻撃者の技術的な巧妙さも注目されます。

まとめ

3AMランサムウェアグループによる今回の攻撃は、メール爆撃、電話詐称、仮想マシン上でのマルウェア展開、持続的アクセス確保、そして大規模なデータ窃取を組み合わせた高度かつ複雑な手法でした。これに対抗するためには、以下の対策が重要です。

  • インターネット向けソフトウェアの適時パッチ適用
  • 全システムへの多要素認証(MFA)の徹底導入
  • Microsoft Quick Assistなどリモート支援ツールの利用制限と監視強化
  • 従業員へのメール爆撃やフィッシング攻撃に対する教育
  • エンドポイント検知・対応(EDR)ソリューションの導入と適切な設定
  • 仮想マシンやコンテナの利用に対するアプリケーション制御強化
  • ネットワーク内の異常なアカウント作成や管理者権限の監視
  • クラウド同期ツールの利用監視とデータ流出防止策

攻撃者は高度な社会工学と技術的手法を巧みに組み合わせており、単一の防御策では防ぎきれません。組織は多層的な防御体制を構築し、常に最新の脅威情報を取り入れることが求められます。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です