Home / セキュリティ / おなじみの手口に新展開:3AMランサムウェア攻撃者がボイスフィッシングとクイックアシストを使い仮想マシンを展開

おなじみの手口に新展開:3AMランサムウェア攻撃者がボイスフィッシングとクイックアシストを使い仮想マシンを展開

2025年10月30日

出典: Sophos Security Operations – https://news.sophos.com/en-us/2025/05/20/a-familiar-playbook-with-a-twist-3am-ransomware-actors-dropped-virtual-machine-with-vishing-and-quick-assist/

原題: A familiar playbook with a twist: 3AM ransomware actors dropped virtual machine with vishing and Quick Assist

3AMランサムウェア攻撃に新たな手口:ボイスフィッシングとQuick Assistを駆使した仮想マシン展開

2024年末から2025年初頭にかけて、3AMランサムウェアグループがMicrosoft Teamsの「メールボンビング」とボイスフィッシング(vishing)を組み合わせた高度な攻撃を展開しました。本記事では、Sophosの調査に基づき、攻撃の特徴や技術的詳細、影響、そして防御策について解説します。

主要なポイント

  • 複合的な攻撃手法:メールボンビングによる大量迷惑メール送信と、電話番号のなりすましを用いたボイスフィッシングを組み合わせ、Microsoft Quick Assistを悪用してリモートアクセスを獲得。
  • 仮想マシンを使った隠蔽:攻撃者はQEMUエミュレータ上のWindows 7仮想マシンを起動し、Sophosの検知を回避しながらマルウェアを展開。
  • 高度な横展開と持続的アクセス:ドメインサービスアカウントの乗っ取りやPowerShell、WMICを駆使してネットワーク内を横展開。さらに商用リモート管理ツールを導入し、長期的な侵入を図る。
  • データ窃取とランサムウェア展開:約868GBのデータをクラウドストレージに窃取し、最終的にエンドポイント保護が不十分なサーバに3AMランサムウェアを展開。
  • Contiグループとの関連:3AMは解散したContiグループのコアチームと関連があり、過去の攻撃手法やツールを継承している可能性が高い。

技術的な詳細や背景情報

この攻撃はまず、標的組織の社員に大量の迷惑メールを短時間で送りつける「メールボンビング」から始まります。これにより注意を逸らしつつ、VoIP(Voice over IP)技術を使ってIT部門の電話番号を偽装し、ボイスフィッシングを実施。電話でのなりすましにより、Microsoft Quick Assistというリモート支援ツールを悪用し、遠隔からのアクセス権を獲得しました。

攻撃者は偽のドメイン「msquick.link」を用い、Google Drive経由でVBSスクリプトやQEMUエミュレータを含むマルウェアを配布。QEMUは仮想マシンを起動するソフトウェアで、ここではWindows 7の仮想環境を構築し、SophosのXDR(Extended Detection and Response)などの検知を回避しています。

さらに、攻撃者はドメインサービスアカウントを乗っ取り、PowerShellやWMIC(Windows Management Instrumentation Command-line)を利用してネットワーク内を横展開。管理者権限のアカウントを作成し、商用のリモート管理ツール「XEOXRemote」を導入して持続的なアクセスを確保しました。

多要素認証(MFA)がRDP(リモートデスクトッププロトコル)による横展開を阻止したものの、WMICやPowerShellによるコマンド実行は続行。攻撃者はMFAのアンインストールやSophosのエンドポイント保護の無効化も試みましたが失敗しています。

データはGoodSyncという同期ツールを使い、約868GBをBackblazeというクラウドストレージに窃取。最終的にエンドポイント保護がないサーバから3AMランサムウェアが展開されました。

影響や重要性

  • Microsoft Teamsを利用する組織の従業員が標的となりやすく、ボイスフィッシングの被害リスクが増大。
  • エンドポイント保護が不十分なサーバや管理されていないデバイスは特に危険。
  • MFA未導入や管理不備の環境では、攻撃者の横展開や持続的アクセスが容易になる。
  • クラウドストレージを活用する組織は、大量データの窃取リスクに直面。
  • Contiグループの手法を継承した3AMの攻撃は今後も高度化が予想され、単純な脆弱性修正だけでは防げない。

まとめ

3AMランサムウェアグループによる今回の攻撃は、従来のメールボンビングやボイスフィッシングに加え、Microsoft Quick Assistを悪用した仮想マシン展開など新たな手口を組み合わせた高度なサイバー攻撃です。Sophosの調査により攻撃の全貌が明らかになり、防御策の策定に重要な示唆を与えています。

対策としては、多要素認証の必須化、リモート支援ツールの利用時の本人確認強化、全デバイスへの最新のエンドポイント保護導入、仮想マシン起動の制御、社員教育の徹底、ネットワーク監視の強化、クラウドストレージの利用監視など多層的な防御が求められます。今後も進化するランサムウェア攻撃に対し、組織全体での警戒と対策強化が不可欠です。

security-user

Related Posts

Google、「Chrome 142」でV8関連はじめ脆弱性20件を修正
2025年11月4日
不正アクセス受け情報漏えいの可能性│株式会社がんばる舎
2025年11月4日
メメントラボのスパイウェア「ダンテ」を用いた新たな標的型攻撃キャンペーン「フォーラムトロール」検出
2025年11月2日

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です