原題: A familiar playbook with a twist: 3AM ransomware actors dropped virtual machine with vishing and Quick Assist
3AMランサムウェアの巧妙な侵入手法:電話詐称と仮想マシン利用の最新攻撃
2024年末から2025年初頭にかけて、3AMランサムウェアグループによる高度な攻撃が確認されました。Microsoft Teamsを悪用した「email bombing」と電話詐称(vishing)を組み合わせ、仮想マシンを駆使した巧妙な侵入手法が特徴です。本記事では、攻撃の詳細とその影響、対策について解説します。
主要なポイント
- 複合的な攻撃手法:Microsoft Teamsを使った大量迷惑メール(email bombing)と電話詐称(vishing)を組み合わせ、IT部門を装ってリモートアクセスを取得。
- 仮想マシンを利用した検知回避:攻撃者はWindows 7の仮想マシン上でマルウェアを動作させ、Sophos XDRなどのエンドポイント検知を回避。
- 高度な横展開と権限昇格:ドメインサービスアカウントを乗っ取り、PowerShellやWMICを使ってネットワーク内を横展開。管理者アカウントを作成し、リモート管理ツールも導入。
- 多要素認証(MFA)の効果と限界:MFAによりRDP経由の横展開は阻止されたものの、他のコマンド実行手法は継続され、Sophosの保護無効化も試みられた。
- 大規模なデータ窃取:GoodSyncを用いて約868GBのデータをクラウドストレージに不正アップロードし、最終的にMFA未設定のサーバーからランサムウェアを展開。
技術的な詳細と背景情報
3AMランサムウェアグループは、元Contiグループのメンバーが関与し、BlackSuitやRoyalランサムウェアのリブランドとされる一方、BlackBasta関連の攻撃者とも関連が指摘されています。攻撃は以下のような流れで行われました。
- Email bombing:標的組織の社員に短時間で大量の迷惑メールを送り、IT部門の対応を誘発。
- 電話詐称(vishing):IT部門の電話番号を偽装し、Microsoft Quick Assistを使ったリモート支援を装ってアクセス権を取得。
- 偽ドメイン経由のマルウェア配布:「msquick[.]link」という偽ドメインからGoogle Drive経由でVBSスクリプトやQEMUエミュレーターを含むマルウェアをダウンロード。
- 仮想マシン上でのマルウェア実行:Windows 7の仮想環境内でQDoorトロイの木馬を動作させ、ネットワークトンネリングを実施。これによりSophosのエンドポイント検知を回避。
- 横展開と権限昇格:PowerShellやWMICを駆使し、ドメインサービスアカウントを乗っ取って管理者アカウントを作成。リモート管理ツール「XEOXRemote」も導入。
- データ窃取とランサムウェア展開:GoodSyncで大量データをBackblazeクラウドにアップロードし、MFA未設定のサーバーから3AMランサムウェアを展開。
影響と重要性
この攻撃は、Microsoft Teamsを利用する多くの組織に対して大きな脅威となります。特に、MFA未設定やエンドポイント保護が不十分なサーバーや端末は狙われやすく、内部ネットワーク全体の横展開や大規模なデータ窃取が可能です。さらに、電話詐称と仮想マシンを組み合わせた手法は検知が難しく、従来のセキュリティ対策だけでは防ぎきれないリスクを示しています。
まとめ:効果的な防御策の重要性
3AMランサムウェアの攻撃は、複数の手法を組み合わせた高度なものであり、組織のセキュリティ体制を総合的に強化する必要があります。具体的には、以下の対策が推奨されます。
- Microsoft Teamsやメールのセキュリティ強化と、社員へのフィッシング・vishing教育の徹底。
- Microsoft Quick Assistなどリモート支援ツールの利用管理と監視。
- 全ユーザー・全アクセスに対する多要素認証(MFA)の徹底適用。
- エンドポイント保護ソフトの全端末への導入と最新状態の維持。
- 仮想マシンや不審なプロセスの監視強化。
- 大量迷惑メール(email bombing)に対する検知と対応。
- ネットワーク内の横展開を防ぐための権限管理とログ監視。
- クラウドストレージへの不正アップロード検知の導入。
攻撃者は過去のContiグループの手法を継承しつつ新たな技術を駆使しており、今後も同様の高度な攻撃が増加する可能性があります。組織は多層的な防御策を講じ、継続的な監視と教育を行うことが不可欠です。
