原題: A familiar playbook with a twist: 3AM ransomware actors dropped virtual machine with vishing and Quick Assist
3AMランサムウェア、Microsoft Teamsを悪用した巧妙な侵入手法の全貌
2024年末から2025年初頭にかけて、3AMランサムウェアグループがMicrosoft Teamsを悪用した新たな攻撃手法を展開しました。Sophosの調査により、音声フィッシング(ビッシング)と仮想マシンを駆使した高度な侵入技術が明らかになっています。
主要なポイント
- Microsoft Teamsを利用したビッシング攻撃とメールボンビングの組み合わせ
攻撃者は大量の迷惑メール(メールボンビング)でターゲットの注意を引きつけ、さらに電話を使った音声フィッシング(ビッシング)でMicrosoft Quick Assistを悪用しリモートアクセスを獲得しました。 - 仮想マシンを使ったバックドア設置
QEMUエミュレータでWindows 7の仮想マシンを起動し、QDoorトロイの木馬を用いてネットワークにバックドアを設置。これにより、検知を回避しながら長期間にわたり潜伏しました。 - 多要素認証(MFA)を回避しようとする試み
攻撃者はMFAを突破しようと複数の手法を試みましたが失敗。MFA未導入のサーバーを経由して最終的にランサムウェアを展開しました。 - 大規模なデータ窃取とクラウドへの流出
GoodSyncを使い約868GBのデータをクラウドに流出させるなど、情報漏えいの被害も甚大でした。 - 3AMグループの背景と関連性
3AMはContiグループのコアメンバーが再編成したチームで、BlackSuit/Royalランサムウェアの再ブランド。BlackBastaグループとも関連が深いとされています。
技術的な詳細と背景
攻撃はまず、ターゲット社員に大量の迷惑メールを送り注意を逸らす「メールボンビング」から始まります。続いて、電話を使ったソーシャルエンジニアリングでMicrosoft Quick Assistのリモートアクセスを獲得。攻撃用のドメイン(msquick[.]link)や一時SMSサービス(1ty[.]me)を利用しマルウェアを配布しました。
QEMUエミュレータにより仮想マシンを起動し、QDoorトロイの木馬を使ってリトアニアのIPアドレス(88.118.167[.]239:443)に接続。QDoorはQtネットワーキングライブラリを活用し、ネットワークトンネリングを確立しました。
PowerShellやWMICコマンドで新規アカウント作成や管理者権限付与、RDP(リモートデスクトッププロトコル)の有効化、ファイアウォール設定の変更などを実施。MFAを解除しようと試みるも失敗し、Sophos XDRによって多くの攻撃が検知・阻止されています。
影響と重要性
- Microsoft Teamsを利用する組織の社員やIT部門が標的となり、特にMFA未導入の環境は大きなリスクを抱えています。
- リモートアクセス環境のセキュリティ強化が不十分な場合、攻撃者による横展開や永続化が容易になります。
- クラウドストレージを利用する組織は大量のデータ流出リスクがあり、情報漏えい対策の強化が急務です。
- Contiグループのリークされた攻撃手法が今も活用されていることから、過去の脅威情報も軽視できません。
まとめ
3AMランサムウェアグループによるMicrosoft Teamsを悪用した攻撃は、ビッシングや仮想マシンを活用するなど高度かつ巧妙な手法が特徴です。多要素認証の重要性やリモートアクセスの監視強化、エンドポイント保護の導入が不可欠であることが改めて示されました。組織はこれらの攻撃手法を理解し、包括的なセキュリティ対策を講じることが求められます。
