Home / セキュリティ対策 / 3AMランサムウェア、Teamsのビッシングと仮想マシンで巧妙な侵入手口を確認

3AMランサムウェア、Teamsのビッシングと仮想マシンで巧妙な侵入手口を確認

2025年10月31日

出典: Sophos Security Operations – https://news.sophos.com/en-us/2025/05/20/a-familiar-playbook-with-a-twist-3am-ransomware-actors-dropped-virtual-machine-with-vishing-and-quick-assist/

原題: A familiar playbook with a twist: 3AM ransomware actors dropped virtual machine with vishing and Quick Assist

3AMランサムウェアの巧妙な攻撃手口:Teams悪用のビッシングと仮想マシン潜伏

2024年末から2025年初頭にかけて、3AMランサムウェアグループによる高度な標的型攻撃が確認されました。Microsoft Teamsを悪用したビッシング(電話詐欺)や仮想マシンを利用した巧妙な侵入手口が特徴で、Sophos Incident Responseが対応しています。本記事では、その攻撃の詳細と対策について解説します。

主要なポイント

  • 標的型で事前偵察を伴う攻撃:通常のランサムウェアは脆弱性を狙う機会犯罪ですが、3AMグループは事前にターゲット組織のIT部門の電話番号を偽装し、綿密な準備を行いました。
  • Microsoft Teamsを使った「メール爆撃」と「ビッシング」:短時間に大量の迷惑メールを送りつけ、さらにVoIP電話でIT部門を装いリモートアクセスを獲得する手法を組み合わせています。
  • 仮想マシン内にバックドアを設置:攻撃者はWindows 7の仮想環境を起動し、QDoorトロイの木馬を仕込むことで検知を回避しながら長期間潜伏しました。
  • 多層的な横展開と権限昇格:PowerShellやWMICを用いてドメインサービスアカウントを奪取し、管理者権限を獲得。MFA未導入の環境からランサムウェアを展開しました。
  • 大量データの窃取と阻止された攻撃:約868GBのデータがクラウド同期ツールを介して流出し、最終的なランサムウェア攻撃はSophosにより阻止されました。

技術的な詳細と背景情報

攻撃はまず、ターゲット社員に大量の迷惑メール(メール爆撃)を送信することから始まります。これにより混乱を生み出し、注意力を削ぐ狙いがあります。次に、VoIP(インターネット電話)を用いて組織のIT部門を偽装し、「Microsoft Quick Assist」というリモート支援ツールを使ってリモートアクセスを獲得しました。

攻撃者はChromeブラウザを利用し、偽装ドメイン「msquick.link」からGoogle Drive経由でマルウェアをダウンロード。マルウェアはVBSスクリプト、QEMUエミュレータ、仮想ディスクイメージを含み、Windows 7の仮想マシンを起動します。QEMUは仮想化ソフトで、管理者権限不要で導入可能なため、EDR(Endpoint Detection and Response)製品の検知を回避しました。

仮想マシン内には「QDoor」と呼ばれるトロイの木馬が設置され、リトアニアのIPアドレスに接続。これによりネットワークトンネリングのバックドアが確立されました。攻撃者はドメインサービスアカウントを奪取し、PowerShellやWMIC(Windows Management Instrumentation Command-line)を使って横展開と権限昇格を実施。MFA(多要素認証)がRDP(リモートデスクトッププロトコル)による攻撃を阻止したものの、WMICやPowerShellは継続して利用されました。

さらに、商用リモート管理ツール「XEOXRemote」も導入され、SophosのEDRを無効化しようとする試みもありましたが失敗。攻撃者はクラウド同期ツール「GoodSync」を使い、約868GBのデータをBackblazeクラウドストレージに流出させました。最終的にMFA未導入のサーバーから3AMランサムウェアを展開しようとしましたが、Sophosの対応により阻止されています。

影響と重要性

この攻撃は、単なる技術的脆弱性の悪用にとどまらず、高度な社会工学的手法と技術的手法を組み合わせた複合的な脅威である点が特徴です。特に、Microsoft TeamsやVoIPを活用したビッシングは、従来のメールフィッシングとは異なる新たな攻撃経路として注目されます。

また、仮想マシンを利用したバックドア設置は、EDR製品の検知回避や長期潜伏を可能にし、被害の拡大を招きます。MFA未導入の環境が攻撃の突破口となっていることから、多層的なセキュリティ対策の重要性が改めて示されました。

まとめと推奨対策

  • インターネットに公開されているソフトウェアやネットワーク機器の脆弱性は速やかに修正し、攻撃の入り口を減らす。
  • 全ユーザー・全アクセスに対して多要素認証(MFA)を徹底し、不正アクセスを防止する。
  • Microsoft Quick Assistなどのリモート支援ツールの利用制限や監視を強化し、不正利用を防ぐ。
  • 仮想マシンやエミュレータの不正利用を検知するため、アプリケーション制御や振る舞い検知を導入する。
  • 大量の不審メールや異常な電話着信を監視し、早期に異常を検知する。
  • EDR/XDR製品は適切に設定・最新化し、攻撃の兆候を見逃さない。
  • 社員に対してフィッシングやソーシャルエンジニアリング対策の教育を継続的に実施する。
  • クラウド同期ツールの利用状況を監査し、必要に応じて制限を設ける。
  • ネットワークの横展開を防ぐため、権限管理とアクセス制御を強化する。

3AMランサムウェアグループは元Contiグループの一部であり、過去の攻撃手法やツールの知見を活用しています。今回の攻撃は単一の防御策では防ぎきれないため、多層的かつ包括的なセキュリティ対策が求められます。組織は最新の脅威動向を把握し、継続的な対策強化を図ることが重要です。

タグ付け処理あり:
security-user

Related Posts

スミソニアン博物館の巨大イカ展示と最新セキュリティ動向
2025年11月3日
米司法省、ジャバーゼウス開発者「MrICQ」ことウクライナ人を米国で拘束
2025年11月3日
ウクライナ人ハッカー「ミスターICQ」米国で逮捕、ジャバージーザス開発者として起訴
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です