Home / ランサムウェア / 3AMランサムウェア、Teamsの音声詐称と仮想マシンで巧妙侵入

3AMランサムウェア、Teamsの音声詐称と仮想マシンで巧妙侵入

2025年10月30日

出典: Sophos Security Operations – https://news.sophos.com/en-us/2025/05/20/a-familiar-playbook-with-a-twist-3am-ransomware-actors-dropped-virtual-machine-with-vishing-and-quick-assist/

原題: A familiar playbook with a twist: 3AM ransomware actors dropped virtual machine with vishing and Quick Assist

3AMランサムウェア:Teamsの音声なりすましと仮想マシンを駆使した巧妙な侵入手法

2024年末から2025年初頭にかけて、3AMランサムウェアグループによる高度な標的型攻撃が報告されました。Microsoft Teamsを悪用した音声なりすまし(vishing)や仮想マシンを利用したバックドア設置など、従来のランサムウェア攻撃とは一線を画す手口が明らかになっています。

主要なポイント

  • 標的型かつ多段階の攻撃:通常の機会犯罪的なランサムウェア攻撃と異なり、3AMグループは事前調査を行い特定社員を狙った標的型攻撃を展開。Microsoft Teamsを使ったメール爆撃と音声・ビデオ通話による詐称(vishing)を組み合わせています。
  • 仮想マシンを使った高度な隠蔽:攻撃者はWindows 7の仮想マシンを起動し、その中でQDoorトロイの木馬を展開。これによりエンドポイント検知(EDR)を回避し、9日間にわたりネットワークに潜伏しました。
  • IT部門の電話番号を偽装したソーシャルエンジニアリング:VoIP通話でIT部門を装い、Microsoft Quick Assistを利用してリモートアクセスを獲得。偽ドメイン経由でマルウェアをダウンロードさせる手口が用いられました。
  • 多層的な防御回避と横展開:PowerShellやWMICを駆使してドメイン内を横展開し、RDP用の管理者アカウント作成や商用RMMツールの導入も試みられました。多要素認証(MFA)が一部の攻撃を阻止したものの、完全な防御には至りませんでした。
  • 大量データのクラウド流出:GoodSyncを利用し、約868GBのデータをBackblazeクラウドに不正にアップロード。クラウドストレージの利用が新たな情報流出経路となっています。

技術的な詳細と背景情報

3AMランサムウェアグループは、解散したContiグループのコアメンバーが関与しており、BlackSuitやRoyalランサムウェアのリブランドとされています。Sophosの調査によると、攻撃は以下のような流れで行われました。

  • まず、標的社員に対して短時間で大量の迷惑メール(メール爆撃)を送信し、注意を逸らします。
  • 次に、Microsoft TeamsのVoIP通話機能を使い、IT部門を装って音声なりすまし(vishing)を実施。Microsoft Quick Assistを利用し、リモートからのサポートを装って端末にアクセスします。
  • 偽ドメイン「msquick[.]link」を経由してGoogle Driveからマルウェアをダウンロード。マルウェアはVBSスクリプト、QEMUエミュレータ、仮想ディスクを含み、Windows 7の仮想マシンを起動します。
  • 仮想マシン内でQDoorトロイの木馬を展開し、Qtネットワーキングライブラリを利用してリトアニアのIPアドレスに接続。SophosのXDR(拡張検知・対応)を回避しました。
  • 攻撃者はドメインサービスアカウントを乗っ取り、PowerShellやWMICで横展開と持続化を図ります。RDP用に新規管理者アカウントを作成し、XEOXRemoteという商用RMMツールも導入を試みました。
  • 多要素認証(MFA)がRDPのインタラクティブセッションを阻止したものの、WMICやPowerShell経由の操作は防げず、MFAのアンインストールも試みられましたが失敗。
  • Sophosのエンドポイント保護の無効化も阻止され、QDoorのバックドア展開も検知されました。
  • 最終的に、保護が不十分なサーバを経由してランサムウェアを展開しようとしましたが、攻撃は阻止されています。

影響と重要性

この攻撃は、Microsoft Teamsなどのビジネスコミュニケーションツールが新たな攻撃ベクトルとなり得ることを示しています。また、仮想マシンを利用したマルウェアの隠蔽や、MFAを部分的に回避する高度な手法は、従来のセキュリティ対策だけでは防ぎきれないリスクを浮き彫りにしました。

さらに、クラウドストレージへの大量データ流出は、情報漏洩の被害を拡大させる可能性があり、企業のデータ保護対策の見直しが急務です。Contiグループの手法を引き継ぐ攻撃者が増加していることから、同様の攻撃が今後も増える恐れがあります。

まとめ

3AMランサムウェアグループによる今回の攻撃は、Microsoft Teamsの音声なりすましや仮想マシンを利用した高度な隠蔽技術を組み合わせた、非常に巧妙かつ危険な標的型攻撃です。企業は以下の対策を強化する必要があります。

  • リモートアクセス全般に多要素認証(MFA)を強制適用し、特にRDPアクセスを厳格に管理する。
  • Microsoft Quick Assistの利用制限や監視を行い、不正なリモートアクセスを防止。
  • 社員教育を通じてフィッシングやvishing攻撃への警戒心を高める。
  • エンドポイント検知・対応(EDR)ソリューションを導入し、仮想マシンや不審なプロセスの起動を監視。
  • クラウドストレージへの大量データアップロードを検知・制限する仕組みを整備。
  • ネットワーク内の権限管理と監査を徹底し、横展開を防止。

このような多層的な防御策を講じることで、今後の類似攻撃に対しても効果的に備えることが可能です。

タグ付け処理あり:
security-user

Related Posts

オーククリフのカード詐欺団を率いるネイサン・マイケルの犯罪手口
2025年11月5日
オーククリフを拠点とした大規模カード詐欺組織の実態
2025年11月3日
OMGケーブル開発者MGが語る高度なハードウェアハッキング技術
2025年11月3日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です