Home / セキュリティ / A familiar playbook with a twist: 3AM ransomware actors dropped virtual machine with vishing and Quick Assist

A familiar playbook with a twist: 3AM ransomware actors dropped virtual machine with vishing and Quick Assist

2025年10月30日

出典: Sophos Security Operations – https://news.sophos.com/en-us/2025/05/20/a-familiar-playbook-with-a-twist-3am-ransomware-actors-dropped-virtual-machine-with-vishing-and-quick-assist/

午前3時に仕掛けられたランサムウェア攻撃:ボイスフィッシングと仮想マシンの巧妙な連携

2024年末から2025年初頭にかけて、SophosはMicrosoft Teamsを悪用した新たなランサムウェア攻撃を15件以上確認しました。特に3AMランサムウェアグループは、ボイスフィッシング(ヴィッシング)とリモート支援ツールを組み合わせ、仮想マシンを利用した巧妙な手口で組織のIT環境に侵入しました。

主要なポイント

  • 複合的な攻撃手法:メール爆撃で標的社員に大量の迷惑メールを送りつけ、電話でのボイスフィッシングを実施。IT部門の電話番号を偽装し、Microsoft Quick Assistを利用してリモートアクセスを獲得しました。
  • 仮想マシンを悪用した攻撃:攻撃者はQEMUエミュレータ上にWindows 7仮想マシンを展開し、QDoorトロイの木馬を稼働。これによりSophosのエンドポイント保護を回避しました。
  • 高度な横展開と権限昇格:ドメインサービスアカウントを乗っ取り、PowerShellやWMICを駆使してネットワーク内を拡散。商用リモート管理ツールも導入し、多面的に攻撃を展開しました。
  • データ窃取の成功:GoodSyncクラウド同期ツールを悪用し、約868GBのデータをBackblazeにアップロード。SophosのEDR(エンドポイント検知・対応)を無効化しようと試みたものの失敗しました。
  • 攻撃の背景と関連性:3AMランサムウェアはBlackSuit/Royalのリブランドで、Contiグループと繋がりが深いことが判明。過去のConti攻撃手法が現在も活用されています。

技術的な詳細と背景情報

この攻撃は、まず標的社員に大量の迷惑メールを送りつける「メール爆撃」から始まります。これにより社員の注意を散らしつつ、電話でのソーシャルエンジニアリング(ボイスフィッシング)を行い、IT部門の電話番号を偽装して信頼を獲得。Microsoft Quick Assistというリモート支援ツールを悪用し、リモートアクセスを得ました。

攻撃者はQEMUというオープンソースの仮想化ソフトウェアを使い、Windows 7の仮想マシンを展開。この仮想環境上でQDoorトロイの木馬を稼働させ、Sophosのエンドポイント保護ソフトを回避しました。QDoorはQtネットワーキングライブラリを利用し、リトアニアのIPアドレスに通信を行います。

さらに、ドメインサービスアカウントを乗っ取り、PowerShellやWMIC(Windows Management Instrumentation Command-line)を使ってネットワーク内を横展開。XEOXRemoteという商用リモート管理ツールも導入し、攻撃の幅を広げました。多要素認証(MFA)を回避しようとしましたが失敗しています。

データ窃取にはGoodSyncというクラウド同期ツールを悪用し、約868GBのデータをBackblazeクラウドにアップロード。SophosのEDRを無効化しようと試みましたが阻止されました。攻撃中に作成されたファイル名やタスク名には、過去のContiグループのプレイブックの痕跡が見られ、攻撃者の関連性を示しています。

影響と重要性

この攻撃は、Microsoft Teamsを利用する企業組織のIT部門を狙ったもので、特に電話番号やメールアドレスが漏洩している組織が被害を受けやすいです。多要素認証が未導入、もしくは一部サーバーにエンドポイント保護が適用されていない環境は特に危険です。

また、3AMランサムウェアグループはBlackSuit/Royalのリブランドであり、Contiグループと繋がりがあるため、攻撃の手口やツールは高度かつ継続的に進化しています。仮想マシンを利用したSophos製品の回避や、リモート支援ツールの悪用など、新たな脅威の兆候として注目されます。

まとめと推奨対策

  • インターネットに面したソフトウェアは常に最新のパッチを適用し、脆弱性を減らす。
  • 多要素認証(MFA)を全ユーザー・全アクセスに対して徹底的に導入する。
  • Microsoft Quick Assistなどのリモート支援ツールの利用制限や監視を強化し、不正アクセスを防止。
  • エンドポイント保護ソフトウェアを全サーバー・端末に導入し、常に最新状態を維持する。
  • 社員に対してフィッシングやボイスフィッシングの教育を強化し、ソーシャルエンジニアリングへの耐性を高める。
  • ネットワーク内の不審な仮想マシンやプロセスを監視し、異常を早期に検知する。
  • クラウド同期ツールの利用状況を監査し、不正利用を防止する。
  • 大量メール受信や電話番号偽装など、攻撃の兆候を検知する仕組みを導入する。

このような多層的な対策を講じることで、3AMランサムウェアグループのような高度な攻撃から組織を守ることが可能です。攻撃者は過去の手法を巧みに組み合わせて進化させているため、常に最新の情報と対策をアップデートすることが重要です。

security-user

Related Posts

Google、「Chrome 142」でV8関連はじめ脆弱性20件を修正
2025年11月4日
不正アクセス受け情報漏えいの可能性│株式会社がんばる舎
2025年11月4日
メメントラボのスパイウェア「ダンテ」を用いた新たな標的型攻撃キャンペーン「フォーラムトロール」検出
2025年11月2日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です