原題: A familiar playbook with a twist: 3AM ransomware actors dropped virtual machine with vishing and Quick Assist
3AMランサムウェアの巧妙な侵入手口と最新攻撃動向
2024年末から2025年初頭にかけて、3AMランサムウェアグループによる高度な攻撃が確認されました。Microsoft Teamsを悪用した「email bombing」と電話詐称(vishing)を組み合わせ、仮想マシンを駆使した巧妙な侵入を実現。Sophosの調査により、これらの攻撃が持つ技術的特徴と影響が明らかになりました。
主要なポイント
- 複合的な攻撃手法:Microsoft Teamsを利用した大量迷惑メール(email bombing)と電話でのIT部門なりすまし(vishing)を組み合わせ、リモートアクセスを誘導。
- 仮想マシンの悪用:QEMUエミュレータ上にWindows 7仮想マシンを展開し、QDoorトロイの木馬を潜伏させることでネットワーク内での長期的な活動を可能に。
- 高度な横展開と持続性の確立:ドメインサービスアカウントの乗っ取り後、PowerShellやWMICを駆使してネットワーク内を横断的に侵害し、多要素認証(MFA)を無効化しようと試みた。
- 大規模なデータ窃取:約868GBのデータをGoodSync経由でクラウドストレージ(Backblaze)に窃取し、9日間にわたり潜伏後にランサムウェアを展開。
- Contiグループとの関連性:3AMは解散したContiグループの関連チームが再編したBlackSuit / Royalランサムウェアの再ブランドであり、過去の攻撃手法を踏襲している。
技術的な詳細と背景情報
攻撃はまずMicrosoft Teamsを通じて標的社員に大量の迷惑メールを送りつけ、電話でIT部門を装いリモートアクセスを誘導します。ここで利用されるのがWindows標準搭載のMicrosoft Quick Assistで、これにより攻撃者はリモート操作を獲得しました。
攻撃用ペイロードはVBSスクリプトで、QEMUエミュレータを用いてWindows 7の仮想マシンを起動。この仮想環境内にQDoorトロイの木馬を潜伏させ、Qtネットワーキングライブラリを介してリトアニアのIPアドレスに接続し、外部と通信を行います。
さらに、攻撃者はドメインサービスアカウントを乗っ取り、Windows管理ツールであるPowerShellやWMIC(Windows Management Instrumentation Command-line)を使ってネットワーク内を横展開。リモートデスクトップ(RDP)や商用リモート管理ツールXEOXRemoteも悪用しました。
多要素認証(MFA)をアンインストールしようとする試みや、EDR(Endpoint Detection and Response)を無効化するためのSandblaster(EDRキラー)も使用されましたが、Sophos XDRによる検知で一部阻止されています。
影響と重要性
この攻撃はMicrosoft Teamsを利用する組織にとって大きな脅威です。特にMFA未導入のリモートアクセス環境やSophos XDR未導入のサーバーは狙われやすく、クラウドストレージへの大量データ窃取リスクが高まります。
3AMグループはConti解散後の主要な脅威グループの一つであり、過去のContiの攻撃プレイブックを踏襲しつつ、電話詐称や仮想マシンの悪用といった新たな手法を組み合わせている点が特徴です。これにより単純な脆弱性対策だけでは防御が難しくなっています。
まとめ
3AMランサムウェア攻撃は、高度な社会工学と技術的手法を融合させた複雑なサイバー攻撃の典型例です。Microsoft TeamsやQuick Assistの利用に潜むリスク、多要素認証の重要性、そして仮想マシンを悪用した潜伏戦術に注意が必要です。
組織は以下の対策を強化すべきです:
- Microsoft Teamsアカウントのセキュリティ強化と不審な電話・メールへの警戒
- Quick Assistの利用制限または監視強化
- Sophos XDRなどのエンドポイント保護の全端末・サーバーへの導入
- 全リモートアクセスに対する多要素認証(MFA)の必須化と保護強化
- EDR無効化試行の監視と防御
- 仮想マシンやリモート管理ツールの利用状況の継続的な監視
- 定期的な脅威インテリジェンスの収集と従業員教育の徹底
このような多層的な防御策を講じることで、3AMランサムウェアをはじめとする高度な攻撃から組織を守ることが可能です。
