eSecurity Planet のコンテンツおよび製品推薦は編集上の独立性を保っています。パートナーへのリンクをクリックした際に収益が発生する場合があります。 詳細はこちら
サイレント・ランサム・グループは、フィッシングメール、電話、および直接訪問によってITスタッフに成りすまし、米国の法律事務所への攻撃を激化させています。
Luna Moth、Chatty Spider、UNC3753としても追跡されているこのグループは、従来のランサムウェア暗号化ではなく、データ窃取と恐喝に重点を置いており、組織が早期に活動を検知することをより困難にしています。
「これは恐喝活動の非常に自然な進化です」と、Exabeamのセキュリティオペレーション戦略担当者であるGabrielle Hempel氏は、eSecurityPlanetへのメールの中で述べました。
同氏は「私たちはマルウェアやエクスプロイトを中心とした検知システムの構築に長年を費やしてきましたが、今や攻撃者はソーシャルエンジニアリング、信頼された正規ツール、そして物理的アクセスへとシフトしています」と説明しました。
Gabrielle氏はさらに「組織がデータをクラウドに移行し始めたとき、物理的なセキュリティは軽視されるようになりました。しかし、脅威アクターは常にインターネットの向こう側にいると想定したセキュリティモデルでは問題が生じます」と付け加えました。
サイレント・ランサム・グループの主なポイント
- サイレント・ランサム・グループは、ITへの成りすまし、フィッシング、ソーシャルエンジニアリングの手法を用いて法律事務所を標的にしています。
- このグループは、従来のランサムウェア暗号化ではなく、データ窃取と恐喝に重点を置いています。
- 攻撃者は正規のリモート管理ツールを悪用し、悪意ある活動を通常の業務に溶け込ませています。
- SRGのキャンペーンは、コールバック型フィッシング詐欺から、現地での成りすまし試みを含む高度な偽ITサポート運営へと進化しています。
サイレント・ランサム・グループの戦術の内側
このキャンペーンは、従来のマルウェアを展開するだけでなく、従業員を操作することに依存したソーシャルエンジニアリング主導の侵入が高まる効果を浮き彫りにしています。
FBIによれば、サイレント・ランサム・グループ(SRG)は2023年春から米国の法律事務所を継続的に標的としていますが、医療、保険、金融セクターの組織も影響を受けています。
この活動は、攻撃者が破壊的なランサムウェア暗号化攻撃よりも、ステルス性の高いデータ窃取と恐喝を好むサイバー犯罪の広範なシフトを反映しています。
従来のランサムウェアグループとは異なり、SRGは機密データを窃取し、それを公開またはオンラインで販売すると脅すことに注力しています。
歴史的に、SRGのキャンペーンは、偽の請求書、支払い通知、またはサブスクリプション料金を含むコールバック型フィッシング手法に依存していました。
被害者は請求に異議を申し立てるために電話番号に電話するよう指示され、その後攻撃者は問題を解決するという名目でリモートアクセスソフトウェアのインストールへと誘導しました。
最近のキャンペーンは、より高度な成りすまし作戦へと進化しています。
攻撃者は今や社内のITスタッフを装い、技術的問題やセキュリティインシデントに関する緊急性を演出するフィッシングメールや電話で従業員に接触します。
これらのやり取りの中で、被害者は問題のトラブルシューティングまたは修復のために、偽のIT担当者にリモートデスクトップアクセスを許可するよう圧力をかけられます。
リモートアクセスの試みが失敗した場合、SRGの攻撃者は権限のあるサポートスタッフに成りすました人物を現地に送り込み、物理的な侵入を試みるケースもあると報告されています。
攻撃者がデータを流出させ、検知を回避する方法
アクセスが確立されると、攻撃者は迅速に機密データの流出へと動きます。
このグループは通常、AnyDesk、Zoho Assist、Quick Assist、RustDesk、Splashtop、Ateraなど、正規のリモート管理およびシステム管理ツールを使用して被害者の環境へのアクセスを維持します。
SRGの攻撃者はまた、WinSCPや名前を変更したRcloneなどのツールを使用してデータ転送を促進します。
場合によっては、悪意ある活動を通常の業務に溶け込ませるため、窃取した情報がMicrosoft OneDriveやGoogle Driveなどの正規クラウドストレージサービスにアップロードされることもあります。
物理的な侵入のシナリオでは、攻撃者は外付けハードドライブやUSBデバイスを使用して企業のシステムから直接データを持ち出す場合もあります。
FBIの勧告は、SRGの活動をMITRE ATT&CKのいくつかの手法にマッピングしており、フィッシング(T1566)、音声フィッシング(T1598.004)、リモートアクセスソフトウェアの悪用(T1219)、Webサービスを介したデータ流出(T1567)が含まれます。
関連するツールやプラットフォームの多くは企業環境で一般的に使用されているため、活動が正当に見える場合があり、従来のエンドポイントソリューションによる検知をより困難にしています。
サイレント・ランサム・グループが使用するようなソーシャルエンジニアリング主導の脅威から防御する組織は、技術的対策と人的側面のセキュリティ対策の両方を優先すべきです。
- ITスタッフ、サードパーティ技術者、および現地訪問者に対する厳格な確認手続きを確立し、システムへの物理的またはリモートアクセスを許可する前に身元を確認する。
- フィッシング耐性のある多要素認証(MFA)を必須とし、特権アクセス管理(PAM)を導入して不正なアカウントアクセスおよび横方向への移動を抑制する。
- 不正なリモート管理ツール、不審な外部へのデータ転送、異常なクラウド同期活動、および大規模なファイルアーカイブ動作を監視する。
- EDR/XDR、データ損失防止(DLP)、およびアプリケーションの許可リスト制御を導入し、不審な管理活動およびデータ流出の試みを特定・ブロックする。
- 不要なリモートアクセスサービス、リムーバブルメディアの使用、および運用上可能な範囲で未承認のクラウドストレージプラットフォームへの外部接続を制限する。
- フィッシング、成りすましの試み、偽のITサポート要求、およびソーシャルエンジニアリングの手法に焦点を当てた従業員向けセキュリティ意識向上トレーニングを定期的に実施する。
- ソーシャルエンジニアリング、内部アクセス、データ恐喝のシナリオを含む机上演習および攻撃シミュレーションを通じてインシデント対応計画をテストする。
これらの手順を組み合わせることで、組織はソーシャルエンジニアリング主導の侵入に対するレジリエンスを構築し、データ窃取、不正アクセス、恐喝へのリスクを低減することができます。
従来のマルウェアを超えたシフト
サイレント・ランサム・グループの活動は、従来のマルウェアではなく、ソーシャルエンジニアリング、なりすまし、そして正規の管理ツールの悪用により依存した攻撃へと向かう、サイバー犯罪の広範なシフトを反映しています。
信頼されたツールと承認されたユーザーの行動を悪用することで、攻撃者は悪意ある活動を通常の業務に溶け込ませ、検知をより困難にし、データ窃取と恐喝の試みを加速させることができます。
脅威アクターの戦術が進化し続ける中、組織はアイデンティティ検証の強化と不正アクセスの制限に役立てるため、ゼロトラストツールを採用しています。
