米国全土の法律事務所が、従来のフィッシング戦術を超えた高度な脅威アクターに狙われており、彼らは電話および対面での接触において信頼されたITスタッフを装い、企業システムへの侵入を図っている。
最近のFBIフラッシュアラートにおいて、FBIはサイレント・ランサム・グループ(SRG)(Luna Moth、Chatty Spider、UNC3753とも呼ばれる)が、2023年以降、米国の法律事務所を継続的に標的にしていると発表した。
SRGは、保険、金融、医療など他の分野の企業も被害に遭わせている。
FBIによれば、これまで同脅威アクターは、少額の「サブスクリプション料金」を請求するとして被害者ネットワークへのアクセスを得るためのフィッシングメールを送付していた。偽のサブスクリプションをキャンセルするよう指示された被害者は脅威アクターに電話するよう促され、その後リモートアクセスソフトウェアをダウンロードさせるリンクがメールで送られた。
コールバックおよび電話を悪用した攻撃(TOAD)として知られるこの手口は、2022年にPalo Alto NetworksのUnit 42が詳細を公表していた。当時、Unit 42はこのキャンペーンによって被害者がすでに数十万ドルの損害を被っていると述べていた。
SRG、ITなりすましと物理的アクセス戦術にエスカレート
このグループはソーシャルエンジニアリングキャンペーンをさらに進化させており、FBIによれば2026年春の時点で、被害者のIT部門のスタッフになりすましていることが確認されている。
この詐欺では、SRGのアクターが標的に直接電話をかけるか、フィッシングメールを送りつけ、ITサポートを装ったSRGアクターに電話をかけるよう従業員を誘導する。
電話がつながると、従業員はリモートデスクトップセッションへのアクセスを許可するよう誘導される。これが失敗した場合、SRGのアクターは実際に被害者の物理的な場所に赴き、被害者のコンピューターにストレージデバイスを挿入してアクセスを試みる。
この手口では、脅威アクターはフィッシングメールによる潜在的な被害に対処するため、デバイスのイメージングやバックアップファイルの作成が必要だと被害者に告げる。
アクセスが確立されると、SRGのアクターは最小限の権限昇格にとどめ、暗号化を行わずに素早くデータ窃取へと移行する。
データの窃取にはWindows Secure Copy(WinSCP)または隠蔽・リネームされた「Rclone」が使用される。SRGのアクターはまた、Google DriveやMicrosoft OneDriveなどの内部ファイル共有プラットフォームへのデータ窃取も行う。
脅威アクターが対面で侵入した場合、SRGのアクターは外付けハードドライブまたはUSBドライブにデータを窃取する。
FBIの通知では、SRGは一般的に正規のシステム管理ツールやリモートアクセスツールを使用して攻撃を実行するため、従来のウイルス対策製品では侵入を検知できない可能性が高いとも指摘されている。
ランサムウェアの脅威に対するサイバーハイジーンの強化
サイバーセキュリティのリーダーは、強固なパスワード、多要素認証、最新のウイルス対策ツールを義務付けることでサイバーハイジーンを徹底するとともに、SRG関連のランサムウェア脅威から守るためのFBIガイダンスに従うべきである。
- 訪問者全員のIDカードのコピーを取得するなど、会社のスペースにアクセスするすべての人物の資格情報を確認する
- 自宅や公共のインターネットなど、セキュリティの低いネットワークからの機密データへのアクセスを制限する
- ITサポートが従業員に対していつ、どのような方法で連絡・本人確認を行うかに関するポリシーを策定・周知する
- フィッシングの識別、対処、報告に関するスタッフトレーニングを実施する
- 可能な限り多くのサービスに対して、フィッシング耐性のあるMFAを要求する
- 可能であれば、ネットワーク機器への暗号化リモートアクセス、ファイル転送、セキュアなコマンド実行を可能にするポート22へのアクセスをブロックする
- 可能であれば、機密データや秘密情報にアクセスできる社内コンピューターでのリモートアクセスおよび外部ドライブのインストール権限を無効にする
翻訳元: https://www.infosecurity-magazine.com/news/silent-ransom-group-it/
