攻撃ベクターの進化
連邦捜査局(FBI)は最近、Silent Ransom Groupに関する緊急勧告を発表した。注目すべきことに、この高度な脅威アクターはLuna Moth、Chatty Spider、UNC3753という別名でも活動している。このサイバー犯罪者集団は、企業ネットワークへの侵害に向け、極めて大胆な手法を採用するようになった。具体的には、社内ITスタッフになりすまし、大胆な現地侵入を企てている。現在、主要な標的は米国全土の著名な法律事務所となっている。
デジタルフィッシングからソーシャルエンジニアリングへ
この恐喝組織は少なくとも2022年から活動を続けてきた。しかし近年、グループは作戦の手口を変更した。以前は、偽のサブスクリプションメールを拡散し、被害者を詐欺ヘルプデスクへ電話させる手法を用いていた。これに対し、現在のキャンペーンは企業の身元を直接詐称する形に移行している。
具体的には、攻撃者は電話や緊急メールで従業員に直接連絡を取る。そして、社内の技術サポート部門へ連絡するよう指示する。会話の中で、実行犯は組織的にユーザーを操作する。最終的には、ワークステーションへのリモートデスクトップアクセスを許可させることに成功する。
物理的侵入と現地での破壊工作
驚くべきことに、この攻撃手法はリモート操作をはるかに超えた範囲に及ぶ。リモートアクセスの試みが失敗した場合、工作員は直接標的の企業オフィスを訪問する。内部に入ると、偽装した人物は正規の技術サポート担当者を装う。
USBを悪用した攻撃ベクター
続いて、訪問者は従業員に不正な外部ストレージデバイスを挿入するよう説得する。表向きは、システムのバックアップや最近のフィッシング異常の分析を目的としているように見せかける。アクセスを確保すると、攻撃者は重要な企業データを迅速に窃取する。興味深いことに、彼らはホスト環境内での長期的な潜伏を意図的に避けている。
データ窃取の仕組みと恐喝の構造
Silent Ransom Groupはファイルの収集にWinSCPやRcloneなどの正規ツールを悪用する。さらに、Google DriveやMicrosoft OneDriveといった公開クラウドリポジトリも利用する。窃取後、グループは入手したデータを用いて積極的な二重恐喝スキームを展開する。
具体的には、機密情報をオンラインで公開または売却すると脅迫する。圧力をさらに高めるため、恐喝者は被害企業の従業員や顧客に対して威圧的な電話をかける。最終的に、組織は専用リポジトリbusiness-data-leaks[.]comを通じて窃取した情報を流出させる。
検知の難しさと侵害の痕跡
従来のセキュリティ対策の回避
FBIは、従来のセキュリティ境界ではこれらの特定の侵入を遮断することが困難であると強調する。攻撃者が一般的なリモート管理ツールを活用するため、この脆弱性が生じる。それでも、防御側は特定の侵害の痕跡を監視することで悪意ある挙動を検知できる。
主な侵害の痕跡
- AnyDesk、RustDesk、Splashtop、Ateraなどのツールの予期しないインストール。
- 未承認の外部ストレージデバイスの異常な物理的接続。
- 外部の公開クラウド環境への大規模なデータ転送。
- 社内ITを名乗る不審な人物からの一方的な電話。
推奨される防御・是正戦略
これを踏まえ、連邦機関は組織に対して厳格な来訪者確認プロトコルの実施を勧告している。さらに、ネットワーク管理者は機密データへのリモートアクセス権限を厳しく制限しなければならない。同時に、企業は高度なソーシャルエンジニアリング手口を識別するよう従業員を訓練すべきである。
これらの対策に加え、セキュリティチームは多要素認証を全面的に導入しなければならない。最後に、組織は重要情報を含むワークステーターにおいてUSBマスストレージ機能を無効化すべきである。
翻訳元: https://meterpreter.org/silent-ransom-group-it-impersonation-fbi-warning/
