Silent Ransom Groupとは
Silent Ransom Group(SRG)は、Luna Moth、Chatty Spider、UNC3753といった別名でも知られる高度なサイバー恐喝グループで、少なくとも2022年から活動を続けています。データを暗号化する従来型のランサムウェアグループとは異なり、SRGは暗号化を用いずにデータ窃取と恐喝に特化しています。法律事務所、医療、ホテル、金融、保険など、機密情報を扱う業界を標的にしていることで特に知られています。
FBIは最近、SRGに関する勧告を発出しました。SRGはソーシャルエンジニアリングや対面攻撃を通じて、米国の法律事務所をはじめとする各業界を積極的に標的にしています。この脅威インテリジェンスレポートでは、Resecurityが確認したSRGの注目すべき戦術、特にクリアネット上のデータリークサイト(DLS)とDNSファストフラックスの使用について詳しく解説します。ファストフラックスとは、侵害されたデバイス(多くの場合ボットネット)をプロキシとして機能させ、継続的にローテーションするネットワークの背後にサーバーを隠蔽するサイバー犯罪者の回避技術です。DNSレコードを頻繁に変更し、TTL(Time-To-Live)値を短く設定することで、攻撃者は悪意あるインフラをテイクダウンに対して耐性のあるものにしています。
昨年、米国家安全保障局(NSA)、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、連邦捜査局(FBI)、オーストラリア信号局のオーストラリアサイバーセキュリティセンター(ASD’s ACSC)、カナダサイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)は、「ファストフラックス:国家安全保障上の脅威」と題した共同勧告を発表し、官民連携の重要性を訴えました。
SRGのファストフラックスネットワークインフラを初めて解明したResecurityは、この悪意ある活動を妨害し、ISP・DNSプロバイダーがこの脅威に対抗できるよう、本インテリジェンスをサイバーセキュリティコミュニティと共有します。確認されたノードは、ラテンアメリカ(ブラジル、メキシコ、アルゼンチン、エクアドル、コロンビア、ボリビア、コスタリカ、ペルー、パナマ)、東欧(ブルガリア、クロアチア、北マケドニア)、中央アジア(ウズベキスタン、キルギスタン)、中東・アフリカ(エジプト、サウジアラビア、チュニジア)、東アジア(韓国)、カリブ海地域(ジャマイカ、ドミニカ共和国)に分布しています。これらのボットは、ルーター・モデム・ゲートウェイといった脆弱なIoT機器やCPE(Customer Premises Equipment)を通じて感染したと考えられます。さらなる分析の結果、SRGに関連する可能性のある他の地下プロジェクトも特定されており、2026年5月に登場したSpy Corporateもその一つです。ファストフラックスはSRGに対し、AmLaw 100上位の法律事務所を恐喝するための耐障害性の高いインフラを提供しています。
法律事務所が標的にされる理由
法律事務所がSRGの主要標的となっているのは、「王冠の宝石」とも呼ばれる高度に機密性の高いクライアントデータを大量に管理しているためです。具体的には、召喚状や進行中の訴訟などの機密法律文書、知的財産、特権的なコミュニケーション内容が含まれます。また、情報漏洩がもたらす評判上・法的なリスクを考慮すると、法律事務所は窃取データの公開や売却を防ぐために身代金を支払う可能性が高いとみなされています。SRGによるリーク事例の一例を以下に示します。
Silent Ransom Groupによる法律事務所への攻撃手法
SRGは技術的手法とソーシャルエンジニアリング技術を組み合わせ、法律事務所に侵入するためのさまざまな高度な戦術を駆使します。主な攻撃手法は以下のとおりです。
-
ITなりすましとソーシャルエンジニアリング
SRGはITサポート担当者になりすますために、コールバックフィッシングキャンペーンとビッシング(音声フィッシング)を頻繁に利用します。標的とする法律事務所の従業員に対してITデパートやサードパーティのサービスプロバイダーを装って連絡し、内部システムへのアクセスを許可させます。これらのキャンペーンでは、正当性を装うためにDuolingoやMasterclassといった著名企業になりすますことも多いです。 -
物理的侵入
SRGは攻撃をエスカレートさせ、ITサポートスタッフを装ったオペレーティブを法律事務所のオフィスに物理的に送り込むケースもあります。これらのオペレーティブは信頼を悪用し、物理的なセキュリティ対策を回避して内部システムへのアクセスを獲得します。この手口は特に効果的であり、少なくとも38の法律事務所がこのような攻撃によってデータを流出させられたと報告されています。 -
データ窃取と恐喝
ネットワーク内部に侵入後、SRGはデータの暗号化ではなく機密データの窃取に注力します。その後、窃取したデータを利用して被害者を恐喝し、身代金が支払われなければ情報を公開または売却すると脅迫します。このアプローチにより、バックアップによって軽減できる暗号化型ランサムウェアを使用する必要がなくなっています。 -
サプライチェーンの悪用
SRGはまた、サードパーティベンダーやサプライチェーンパートナーの脆弱性を突くことで、間接的に法律事務所を標的にします。これにより、信頼された接続経路を通じて法律事務所に侵入でき、検出と対応がさらに困難になります。 -
スピードと持続性
SRGは被害者への執拗なフォローアップで知られており、従業員に直接連絡して身代金交渉を迫るケースも多いです。この積極的なアプローチが支払いの可能性を高めています。
データリークサイト(DLS)
SRGは従来のランサムウェアを展開してデータを暗号化することはありません。代わりに、機密データの窃取に特化し、身代金が支払われなければデータを公開・売却すると脅迫します。被害者が支払いを拒否した場合に窃取データを公開する「business-data-leaks[.]com」などのデータリークサイト(DLS)を運営しています。
2024年12月、このグループは当初「LeakedData」というブランド名を名乗っていました。DLSが引き続きその名称を使用しているのはそのためです。SRGが公開している被害者組織にはそれぞれ、収益額と窃取データのダウンロード総数が記載されています。
SRGは被害者リストを継続的に更新しており、2026年6月上旬にも新たな被害者が追加されました。今後もさらに多くの組織が標的にされると見込まれています。
SRGは法律事務所に加え、法律事務所と同様に顧客の財務情報を含む機密データを保持する会計サービス事業者も攻撃しています。
2026年6月時点で、SRGのDLSには約100の被害者組織が掲載されています。
クリアネットのDLSはTDS(Traffic Distribution System)チャネルで使用される識別子に類似した「トークン」を生成し、訪問者を特定のURLへ「ルーティング」する仕組みになっています。
https[://]business-data-leaks[.]com/downloader/?csrfmiddlewaretoken=D7BGd0OyFdqGTJytqrYmjMEVVCQ82NVnxE2AT2DGf9kDn8GHakYpDfyxz5RH7fY8&who=658ce0babe23aa3d1fe1c4f90
URLが正常に生成されると、訪問者は窃取データが格納された特定のフォルダへリダイレクトされます。
https[://]ep6pheij.com/[Victim_Name]/
この仕組みにより、漏洩データのフォルダへの直接URLをDLSのインデックスページから削除することでスクレイピングを防止しており、自動ダウンロードや分析が困難になっています。
CSRFトークン(クロスサイトリクエストフォージェリトークン)とは、サーバーサイドアプリケーションが生成してユーザーのセッションに割り当てる、ユニークかつ秘密の予測不可能な文字列です。SRGのオペレーターはこのアプローチをサイバーセキュリティソリューションから模倣しており、例えばWAF(Webアプリケーションファイアウォール)もこのようなトークンを活用しています。
このグループの帰属に関する可能性はさておき、DLSクリアネットインフラに使用されたドメインレジストラに注目することが重要です。
WHOIS情報:
Domain Name: BUSINESS-DATA-LEAKS[.]COM
Registry Domain ID: 2856574111_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.webnic.cc
Registrar URL: http://www.webnic.cc
Updated Date: 2026-02-22T16:14:14Z
Creation Date: 2024-02-19T13:55:59Z
Registry Expiry Date: 2027-02-19T13:55:59Z
Registrar: Web Commerce Communications Limited dba WebNic.cc
Registrar IANA ID: 460
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +60.189836788
Domain Status: ok https://icann.org/epp#ok
Name Server: NS1.HEOPLDENTICALDERR.ORG
Name Server: NS2.HEOPLDENTICALDERR.ORG
Name Server: NS3.HEOPLDENTICALDERR.ORG
Name Server: NS4.HEOPLDENTICALDERR.ORG
WHOIS情報:
Domain Name: EP6PHEIJ[.]COM
Registry Domain ID: 2876106313_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.webnic.cc
Registrar URL: http://www.webnic.cc
Updated Date: 2026-05-06T19:38:26Z
Creation Date: 2024-04-26T22:50:04Z
Registry Expiry Date: 2027-04-26T22:50:04Z
Registrar: Web Commerce Communications Limited dba WebNic.cc
Registrar IANA ID: 460
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +60.189836788
Domain Status: ok https://icann.org/epp#ok
Name Server: NS1.HEFIREALDE.ORG
Name Server: NS2.HEFIREALDE.ORG
Name Server: NS3.HEFIREALDE.ORG
Name Server: NS4.HEFIREALDE.ORG
WebNIC(Web Commerce Communications (Singapore) Pte. Ltd.)はアジア最大級のドメインホールセールプロバイダーの一つであり、リセラー向けにドメイン名登録やその他インターネット関連サービスのアウトソーシングを提供しています。なお、これはバレットプルーフのドメインレジストラではなく、ICANNに認定された組織です。残念ながら、ホールセールドメインプロバイダーはサービスを悪用するサイバー犯罪者から広く被害を受けており、SRGはその典型例といえます。
ネームサーバー(HEOPLDENTICALDERR[.]ORGおよびHEFIREALDE[.]ORG)はファストフラックス通信とIPアドレスのローテーションを制御するために使用されています。
WHOIS情報:
Domain Name: heopldenticalderr.org
Registry Domain ID: REDACTED
Registrar WHOIS Server: https://iwhois.webnic.cc
Registrar URL: https://www.webnic.cc/
Updated Date: 2026-02-27T13:32:53Z
Creation Date: 2026-02-22T13:32:20Z
Registry Expiry Date: 2027-02-22T13:32:20Z
Registrar: Web Commerce Communications Limited dba WebNic.cc
Registrar IANA ID: 460
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +603.89966799
Domain Status: ok https://icann.org/epp#ok
Name Server: a.heopldenticalderr.org
Name Server: b.heopldenticalderr.org
Name Server: c.heopldenticalderr.org
Name Server: d.heopldenticalderr.org
WHOIS情報:
Domain Name: hefirealde.org
Registry Domain ID: REDACTED
Registrar WHOIS Server: https://iwhois.webnic.cc
Registrar URL: https://www.webnic.cc/
Updated Date: 2026-04-18T10:15:30Z
Creation Date: 2024-03-04T10:15:02Z
Registry Expiry Date: 2027-03-04T10:15:02Z
Registrar: Web Commerce Communications Limited dba WebNic.cc
Registrar IANA ID: 460
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +603.89966799
Domain Status: ok https://icann.org/epp#ok
Name Server: a.hefirealde.org
Name Server: b.hefirealde.org
Name Server: c.hefirealde.org
Name Server: d.hefirealde.org
2026年6月4日時点で、これらのドメイン名はすべて稼働中です。Resecurityは特定の地域やISPプロバイダーからのアクセスが不能になる場面も確認していますが、これは当該事業者が悪意あるリソースをフィルタリング・ブロックするために独自に講じた措置によるものです。
Silent Ransom GroupがTORではなくクリアネットを選ぶ理由
ほとんどのランサムウェアグループや恐喝グループはその匿名性とテイクダウン耐性からTORを使ってデータリークサイトをホストしていますが、SRGがクリアネットを選択した背景にはいくつかの要因が考えられます。
被害者のアクセスしやすさ:
クリアネットでのホスティングにより、被害者はTORブラウザをインストールや使用することなくサイトにアクセスしやすくなります。これにより、被害者が漏洩データを確認したり、身代金要求に応じたりするハードルが下がります。
運用上のシンプルさ:
クリアネットサイトの構築・維持は、TORベースのオニオンサービスの設定・保護よりも簡単です。TORサービスは匿名性の確保と非匿名化攻撃の防止に追加的な技術的専門知識を要します。
TORの制限回避:
TORは匿名性を提供する一方で、一般的なインターネットユーザーには広く普及していません。ITリテラシーの低いユーザーはTORブラウザやオニオンホストに不慣れなため、広いユーザー層への漏洩データの公開が制限される可能性があります。クリアネットを使用することで、SRGはこうした複雑さを回避しているといえます。
知名度と可視性:
クリアネットサイトは一般大衆、メディア、検索エンジンからより広く認知・アクセスされます。これにより、情報漏洩をより公のものにして評判への打撃を高め、被害者への心理的圧力を増幅させられます。
テイクダウン耐性:
クリアネットサイトは法執行機関やホスティングプロバイダーによるテイクダウンに対してより脆弱ですが、SRGは法執行が緩やかな管轄地域のホスティングサービスを利用したり、サイトを迅速に移行する技術を駆使したりすることでこのリスクを軽減しているとみられます。
Silent Ransom Groupがデータリークサイトをクリアネットでホストするという選択は、通常TORの匿名性と耐障害性に依存するランサムウェアグループの標準的な慣行と比べると異例です。しかし、インフラが潜在的なテイクダウンにさらされるリスクを冒してでも、シンプルさ・アクセスしやすさ・知名度の向上を優先するという思惑がこのアプローチを促していると考えられます。この戦略は、被害者への圧力を最大化することへの注力を端的に示しています。
解明されたファストフラックスインフラ
ep6pheij[.]comとbusiness-data-leaks[.]comの2つのドメインについて、DNS Aレコードのアドレスが絶えずローテーションされていることが確認されました。そこで、このインフラの性質と規模を解明するための調査が実施されました。
DNSクエリは44の公開DNSリゾルバーを通じて、EDNS Client Subnet(ECS)スプーフィングを50の世界各地のロケーションから、各ドメインにつき50回のコレクションラウンドにわたって実行されました。ニューヨーク、ロンドン、東京、サンパウロ、カイロ、シドニー、モスクワなど、世界中の様々な場所からクエリを送信しているように見せかけて、DNSクエリのスプーフィングを行いました。
両ドメインは18か国・22のISPに分散したボットネットに支えられたファストフラックスネットワーク上で動作しています。2つのドメインはボットプールの50〜60%を共有しており、同一の脅威アクターが両方を運用していることが確認されています。このインフラにはデータセンターやホスティングのIPアドレスが一切含まれておらず、すべてのノードは一般消費者向けISP(Telecentro、Mega Cable、Vodafoneなど)に紐づいており、住宅用またはモバイルのIPアドレスとして識別されています。
各DNSクエリは10〜18個のIPアドレスを同時にAレコードとして返します。これらはロードバランサーやCDNノードではなく、様々な国の一般家庭の(住宅用)インターネット接続です。
|
観測項目 |
グループ1(ep6pheij.com) |
グループ2(business-data-leaks.com) |
|---|---|---|
|
DNSレスポンスあたりのIP数 |
10〜18 |
10〜15 |
|
収集されたユニークIP総数 |
18 |
15 |
|
新規IPの出現間隔 |
約2〜3分(バッチローテーション) |
約2〜3分(バッチローテーション) |
|
全IPが住宅用か |
✅ はい — 100% |
✅ はい — 100% |
初回実行では、グループ1は63.143.98.185(ジャマイカ — Digicel Jamaica)や177.84.182.188(ブラジル — Cabonnet Internet Ltda)などのIPを返しました。4分後に2回目の実行を開始すると、それらのIPの一部がまったく新しいIPに入れ替わっていました。これにより、バックエンドのC2サーバーによる能動的なローテーションが確認されました。
結果:50のすべてのロケーションがまったく同一のIPセットを受信しました。
これが意味するのは以下のとおりです。
- このDNSはクエリ元のロケーションに基づいて異なるIPを返す仕様ではない
- これはCDNでも地理的ロードバランサーでもない
- ローテーションは純粋に時間ベースであり、問い合わせ元に関わらず、C2サーバーが現在オンラインのボットでDNSゾーンを更新する
合計24のIPアドレスのうち9つが両方のドメインのローテーションプールに含まれています。
|
共有IP |
国 |
ISP |
|---|---|---|
|
95.86.30.3 |
🇲🇰 北マケドニア |
Inel |
|
95.178.198.144 |
🇭🇷 クロアチア |
OT-Optima Telekom |
|
130.204.1.83 |
🇧🇬 ブルガリア |
A1 Bulgaria EAD |
|
186.101.193.110 |
🇪🇨 エクアドル |
Telconet S.A |
|
187.199.140.132 |
🇲🇽 メキシコ |
Uninet / Telmex |
|
190.224.203.37 |
🇦🇷 アルゼンチン |
Telecom Argentina |
|
195.158.3.172 |
🇺🇿 ウズベキスタン |
Uzbektelekom |
|
197.44.54.74 |
🇪🇬 エジプト |
TE Data |
|
197.134.192.101 |
🇪🇬 エジプト |
Vodafone |
観測結果:
– グループ1のIPの50%がグループ2にも存在
– グループ2のIPの60%がグループ1にも存在
グループ1:
|
# |
IPアドレス |
CC |
国 |
都市 |
ISP |
AS |
共有? |
|---|---|---|---|---|---|---|---|
|
1 |
95.86.30.3 |
MK |
北マケドニア |
カヴァダルツィ |
Inel |
AS49056 |
✅ |
|
2 |
95.178.198.144 |
HR |
クロアチア |
リエカ |
OT-Optima Telekom |
AS34594 |
✅ |
|
3 |
130.204.1.83 |
BG |
ブルガリア |
ソフィア |
A1 Bulgaria EAD |
AS13124 |
✅ |
|
4 |
159.0.229.102 |
SA |
サウジアラビア |
リヤド |
Saudinet |
AS25019 |
|
|
5 |
177.222.41.236 |
BO |
ボリビア |
ラパス |
Telefónica Bolivia |
AS27882 |
|
|
6 |
186.23.249.254 |
AR |
アルゼンチン |
ブエノスアイレス |
Telecentro S.A. |
AS27747 |
|
|
7 |
186.101.193.110 |
EC |
エクアドル |
グアヤキル |
Telconet S.A |
AS27947 |
✅ |
|
8 |
187.199.140.132 |
MX |
メキシコ |
カボ・サン・ルーカス |
Uninet / Telmex |
AS8151 |
✅ |
|
9 |
187.228.100.237 |
MX |
メキシコ |
グアダラハラ |
Uninet / Telmex |
AS8151 |
|
|
10 |
189.195.132.134 |
MX |
メキシコ |
ビジャ・デ・アルバレス |
Mega Cable |
AS13999 |
|
|
11 |
190.147.128.172 |
CO |
コロンビア |
バランキージャ |
Telmex Colombia |
AS10620 |
|
|
12 |
190.224.203.37 |
AR |
アルゼンチン |
コルドバ |
Telecom Argentina |
AS7303 |
✅ |
|
13 |
195.158.3.172 |
UZ |
ウズベキスタン |
タシケント |
Uzbektelekom |
AS8193 |
✅ |
|
14 |
197.44.54.74 |
EG |
エジプト |
カイロ |
TE Data |
AS8452 |
✅ |
|
15 |
197.134.192.101 |
EG |
エジプト |
カイロ |
Vodafone Data |
AS24835 |
✅ |
|
16 |
201.191.99.134 |
CR |
コスタリカ |
サンホセ |
ICE |
AS11830 |
|
|
17 |
211.202.224.10 |
KR |
韓国 |
京畿道 |
SK Broadband |
AS9318 |
|
|
18 |
212.112.110.243 |
KG |
キルギスタン |
ビシュケク |
AKNET Ltd. |
AS12764 |
グループ2:
|
# |
IPアドレス |
CC |
国 |
都市 |
ISP |
AS |
共有? |
|---|---|---|---|---|---|---|---|
|
1 |
63.143.98.185 |
JM |
ジャマイカ |
スパニッシュタウン |
Digicel Jamaica |
AS33576 |
|
|
2 |
95.86.30.3 |
MK |
北マケドニア |
カヴァダルツィ |
Inel |
AS49056 |
✅ |
|
3 |
95.178.198.144 |
HR |
クロアチア |
リエカ |
OT-Optima Telekom |
AS34594 |
✅ |
|
4 |
123.214.62.28 |
KR |
韓国 |
用仁市 |
SK Broadband |
AS9318 |
|
|
5 |
130.204.1.83 |
BG |
ブルガリア |
ソフィア |
A1 Bulgaria EAD |
AS13124 |
✅ |
|
6 |
161.132.94.226 |
PE |
ペルー |
リマ |
ON Empresas |
AS27843 |
|
|
7 |
179.52.106.82 |
DO |
ドミニカ共和国 |
サンティアゴ |
CODETEL |
AS6400 |
|
|
8 |
186.101.193.110 |
EC |
エクアドル |
グアヤキル |
Telconet S.A |
AS27947 |
✅ |
|
9 |
187.199.140.132 |
MX |
メキシコ |
カボ・サン・ルーカス |
Uninet / Telmex |
AS8151 |
✅ |
|
10 |
190.16.5.248 |
AR |
アルゼンチン |
オラバリア |
Telecom Argentina |
AS7303 |
|
|
11 |
190.140.81.252 |
PA |
パナマ |
パナマシティ |
Cable Onda |
AS18809 |
|
|
12 |
190.224.203.37 |
AR |
アルゼンチン |
コルドバ |
Telecom Argentina |
AS7303 |
✅ |
|
13 |
195.158.3.172 |
UZ |
ウズベキスタン |
タシケント |
Uzbektelekom |
AS8193 |
✅ |
|
14 |
197.44.54.74 |
EG |
エジプト |
カイロ |
TE Data |
AS8452 |
✅ |
|
15 |
197.134.192.101 |
EG |
エジプト |
カイロ |
Vodafone Data |
AS24835 |
✅ |
地域別分布:
|
地域 |
IP数 |
全体比 |
備考 |
|---|---|---|---|
|
ラテンアメリカ |
12 |
50% |
最も集中している地域 |
|
バルカン・東欧 |
3 |
12.5% |
すべて住宅用ISP |
|
中央アジア |
2 |
8.3% |
国営通信加入者 |
|
中東・アフリカ |
3 |
12.5% |
携帯電話を1台含む |
|
東アジア |
2 |
8.3% |
SK Broadband住宅用 |
|
カリブ海地域 |
2 |
8.3% |
小規模島嶼ISP |
ラテンアメリカへの偏重(50%)は、ボットネットのマルウェアが以下の経路で拡散している可能性を示唆しています。
– 同地域に多い脆弱なIoT機器
– フィッシングやマルウェアキャンペーン
– ISP提供CPE機器を狙ったエクスプロイト
24のIPアドレスに対して22のユニークなISPが存在しており、ほぼすべてのIPが異なるインターネットサービスプロバイダーに属しています。これは正規のサービスでは絶対にあり得ない状況であり、世界中の感染デバイスを活用するボットネットの決定的な特徴です。
|
ISP |
国 |
IP数 |
グループ |
|---|---|---|---|
|
Uninet / Telmex |
🇲🇽 メキシコ |
2 |
G1 + G2 |
|
Telecom Argentina |
🇦🇷 アルゼンチン |
2 |
G1 + G2 |
|
SK Broadband |
🇰🇷 韓国 |
2 |
G1 + G2 |
|
その他19のISP |
各国 |
各1 |
各種 |
結論:これはアマチュアが構築したものではなく、プロフェッショナルグレードのファストフラックスボットネットです。オペレーターは少なくとも24台の侵害されたホストを制御し、それらを利用してローテーションする住宅用IPの背後にインフラを隠蔽しています。
Spy Corporate:金銭か評判か
ファストフラックスのローテーションで使用されたホストを分析した結果、ResecurityはSRGの活動に関連すると考えられる別のプロジェクトを特定しました。例えば、212.112.110.243(キルギスタン — AKNET Ltd.)は別のデータリークサイト(DLS)を展開するドメインspycorp[.]proにマッピングされていました。
このDLSもWeb Commerce Communications Limited(dba WebNic.cc)経由で登録されており、SRGと類似したトークン機構を活用しています。さらに、被害者組織として法律事務所が掲載されています。
http[://]spycorp[.]pro/get-link/?q=d7cf169127fe39dd1aa3d0479fcc0876
注目すべきことに、このドメインは異なるネームサーバーを使用していますが、ローテーション中のIPアドレスは元のSRGファストフラックスインフラと同一であり、SRGと「Spy Corporate」の直接的な関連性が確認されています。
Domain Name: SPYCORP[.]PRO
Registry Domain ID: 2876106313_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.webnic.cc
Registrar URL: http://www.webnic.cc
Updated Date: May 5, 2026
Creation Date: April 30, 2026
Registry Expiry Date: April 30, 2027
Registrar: Web Commerce Communications Limited dba WebNic.cc
Registrar IANA ID: 460
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +60.189836788
Domain Status: ok https://icann.org/epp#ok
Name Server: ns1.digoprotergonde.org
Name Server: ns2.digoprotergonde.org
Name Server: ns3.digoprotergonde.org
Name Server: ns4.digoprotergonde.org
WHOIS情報:Domain Name: DIGOPROTERGONDE[.]ORG
Registry Domain ID: REDACTED
Registrar WHOIS Server: https://iwhois.webnic.cc
Registrar URL: https://www.webnic.cc/
Updated Date: 2026-05-10T11:42:42Z
Creation Date: 2026-05-05T11:42:11Z
Registry Expiry Date: 2027-05-05T11:42:11Z
Registrar: Web Commerce Communications Limited dba WebNic.cc
Registrar IANA ID: 460
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +603.89966799
Domain Status: ok https://icann.org/epp#ok
Name Server: c.digoprotergonde.org
Name Server: a.digoprotergonde.org
Name Server: d.digoprotergonde.org
Name Server: b.digoprotergonde.org
ローテーション中のIPにはチュニジア(41.225.239.178)のホストも含まれていました。アクターがローテーションプールのアドレスを新たなノードで更新している可能性があり、これが新たな地域の出現につながっていると考えられます。
Resecurityは、Wi-Fiに関連する名称を持つドメイン(住宅用IPのローテーションに関与している可能性がある)を含む、同一のIPにマッピングされた興味深いドメイングループを特定しました。
– wifi[.]business-data-leaks[.]com
– hotspot[.]mywebb[.]at
– airwave[.]mywebb[.]at
– meraki[.]mywebb[.]at
– wifi[.]mywebb[.]at
注目すべきことに、ファストフラックスインフラ内のIPの一部は、以前にカーディングショップ「CVV Union」や、盗難クレジットカードデータ・個人情報(PII)・現金化スキームの売買における主要な取引場所として機能していたダークウェブのカーディング・サイバー詐欺フォーラム「Omerta」にマッピングされていたことが確認されています。
_crl[.]_tcp[.]omerta[.]cc
_dmarc[.]omerta[.]cc
_dnss[.]_udp[.]omerta[.]cc
_h323cs[.]_udp[.]omerta[.]cc
_msdcs[.]omerta[.]cc
_sip-tls[.]_tcp[.]omerta[.]cc
_smb[.]_tcp[.]omerta[.]cc
_stun[.]_tcp[.]omerta[.]cc
_tcp[.]dc[.]_msdcs[.]omerta[.]cc
_turns[.]_udp[.]omerta[.]cc
_udp[.]omerta[.]cc
_vnc[.]_tcp[.]omerta[.]cc
abqnurbs[.]omerta[.]cc
acdc[.]omerta[.]cc
addrea[.]omerta[.]cc
取得したドメイン名と関連するDNS Aレコードの完全なリストは、本レポートの末尾にある侵害の痕跡(IOC)セクションに記載しています。
まとめ
Silent Ransom Group(SRG)は、標的を絞った多面的な攻撃戦略とデータ窃取・恐喝への注力により、深刻な脅威を形成しています。ソーシャルエンジニアリング、物理的侵入、サプライチェーンの脆弱性を巧みに組み合わせ、法律業界の機密データへの依存を突いていることが明らかです。法律事務所は従業員トレーニング、多要素認証、サプライチェーンリスク管理を含む強固なサイバーセキュリティ対策を導入する必要があります。
SRGの攻撃は法律業界に多大な影響を与えています。2026年第1四半期に追跡されたランサムウェア関連インシデントの約4分の1を法律事務所が占め、4番目に標的にされた業界となっています。SRGのデータ窃取・恐喝手法は機密性を重視する組織に対して特に有効であり、この増加傾向に寄与しています。
SRGによるファストフラックスボットネットの使用は、グループの高度な戦術を改めて証明するものであり、この脅威を無力化するためにサイバーセキュリティと法執行機関のコミュニティが連携する必要があります。ファストフラックスDNSネットワークを活用してきた著名なランサムウェアグループとしては、HiveやNefilimが挙げられます。また、ロシアとの関連が指摘されるハッキンググループGamaredonのような他のサイバー犯罪シンジケートも、インフラを隠蔽してセキュリティ運用にコストを課すためにこれらの技術を利用してきました。
参考資料
侵害の痕跡(IOC)
ドメイン名:
demo[.]business-data-leaks[.]com
id[.]business-data-leaks[.]com
member[.]business-data-leaks[.]com
assets[.]ep6pheij[.]com
spycorp[.]pro
mail[.]spycorp[.]pro
mail[.]business-data-leaks[.]com
business-data-leaks[.]com
_dmarc[.]mywebb[.]at
admin[.]mywebb[.]at
airwave[.]mywebb[.]at
apps[.]mywebb[.]at
cambium[.]mywebb[.]at
clearpass[.]mywebb[.]at
dev[.]mywebb[.]at
hotspot[.]mywebb[.]at
mywebb[.]at
omada[.]mywebb[.]at
ruckuscontroller[.]mywebb[.]at
staging[.]mywebb[.]at
test[.]mywebb[.]at
unifi[.]mywebb[.]at
unleashed[.]mywebb[.]at
www[.]mywebb[.]at
xq7mt9kp2v[.]business-data-leaks[.]com
api[.]mywebb[.]at
demo[.]mywebb[.]at
login[.]mywebb[.]at
wifi[.]mywebb[.]at
wifi[.]business-data-leaks[.]com
meraki[.]mywebb[.]at
ep6pheij[.]com
portal[.]ep6pheij[.]com
www[.]ep6pheij[.]com
app[.]business-data-leaks[.]com
portal[.]mywebb[.]at
lpclusertreyls[.]com
app[.]mywebb[.]at
www[.]business-data-leaks[.]com
www[.]www[.]ep6pheij[.]com
help[.]business-data-leaks[.]com
app[.]ep6pheij[.]com
bitrix[.]tg-auth[.]com
development[.]tg-auth[.]com
school[.]tg-auth[.]com
tg-auth[.]com
werkenbij[.]tg-auth[.]com
bbs[.]tg-auth[.]com
helpsscodds[.]in
www[.]helpsscodds[.]in
bitwinzz[.]com
booksandsongs[.]at
www[.]booksandsongs[.]at
api[.]tg-auth[.]com
_crl[.]_tcp[.]omerta[.]cc
_dmarc[.]omerta[.]cc
_dnss[.]_udp[.]omerta[.]cc
_h323cs[.]_udp[.]omerta[.]cc
_msdcs[.]omerta[.]cc
_sip-tls[.]_tcp[.]omerta[.]cc
_smb[.]_tcp[.]omerta[.]cc
_stun[.]_tcp[.]omerta[.]cc
_tcp[.]dc[.]_msdcs[.]omerta[.]cc
_turns[.]_udp[.]omerta[.]cc
_udp[.]omerta[.]cc
_vnc[.]_tcp[.]omerta[.]cc
abqnurbs[.]omerta[.]cc
acdc[.]omerta[.]cc
addrea[.]omerta[.]cc
admin[.]admin[.]admin[.]admin[.]admin[.]hostmaster[.]omerta[.]cc
admin[.]admin[.]admin[.]admin[.]admin[.]www[.]omerta[.]cc
admin[.]admin[.]admin[.]admin[.]hostmaster[.]omerta[.]cc
admin[.]admin[.]admin[.]omerta[.]cc
admin[.]admin[.]hostmaster[.]omerta[.]cc
admin[.]hostmaster[.]omerta[.]cc
admin[.]omerta[.]cc
aedweb[.]omerta[.]cc
afc[.]omerta[.]cc
afcwimbledon[.]omerta[.]cc
algorithms[.]omerta[.]cc
amb[.]omerta[.]cc
amberleycastle[.]omerta[.]cc
amember[.]omerta[.]cc
amse[.]omerta[.]cc
ancweb[.]omerta[.]cc
antigaspi[.]omerta[.]cc
apprenticerecordmanager[.]omerta[.]cc
apthompson[.]omerta[.]cc
arnaud[.]omerta[.]cc
arosetintedworld[.]omerta[.]cc
ashleyford[.]omerta[.]cc
at[.]ru[.]covcdxlp[.]omerta[.]cc
blackshift[.]omerta[.]cc
blog[.]omerta[.]cc
ca[.]production[.]uk[.]production[.]online[.]puagjosn[.]omerta[.]cc
cms[.]support[.]at[.]ru[.]covcdxlp[.]omerta[.]cc
corum[.]omerta[.]cc
dc[.]_msdcs[.]omerta[.]cc
djnkywww[.]ww[.]omerta[.]cc
exclusively[.]omerta[.]cc
formplm[.]omerta[.]cc
hostmaster[.]omerta[.]cc
mail[.]omerta[.]cc
mencap[.]omerta[.]cc
net-sub-r-family-account-my-ffojjfdq[.]omerta[.]cc
ns2[.]omerta[.]cc
offshore[.]omerta[.]cc
omerta[.]cc
pc[.]ca[.]production[.]uk[.]production[.]online[.]puagjosn[.]omerta[.]cc
ppls[.]of[.]b[.]wzyeirrg[.]omerta[.]cc
production[.]uk[.]production[.]online[.]puagjosn[.]omerta[.]cc
proxy-host[.]omerta[.]cc
random[.]monge[.]omerta[.]cc
random[.]westonturville[.]omerta[.]cc
smb[.]omerta[.]cc
support[.]omerta[.]cc
swarm[.]omerta[.]cc
tcao[.]omerta[.]cc
temir[.]omerta[.]cc
trafix[.]omerta[.]cc
trom[.]omerta[.]cc
tuuut[.]omerta[.]cc
tx[.]omerta[.]cc
ucr[.]omerta[.]cc
vari[.]omerta[.]cc
vplesk[.]omerta[.]cc
vpnt[.]omerta[.]cc
vprh[.]omerta[.]cc
vxuexadmin[.]admin[.]omerta[.]cc
westonturville[.]omerta[.]cc
widsi[.]omerta[.]cc
wine[.]omerta[.]cc
wph[.]omerta[.]cc
ww[.]omerta[.]cc
www[.]omerta[.]cc
wzyeirrg[.]omerta[.]cc
xdir[.]omerta[.]cc
yxkkiadmin[.]hostmaster[.]omerta[.]cc
zellis[.]omerta[.]cc
zoodle[.]omerta[.]cc
zrsbc[.]omerta[.]cc
952cd7f5-55c2-472f-bc9d-08487ef75661[.]random[.]aoptical[.]omerta[.]cc
_[.]www[.]omerta[.]cc
_bimi[.]omerta[.]cc
_kerberos-master[.]_tcp[.]omerta[.]cc
_mta-sts[.]omerta[.]cc
_tcp[.]omerta[.]cc
ab[.]omerta[.]cc
acesam[.]omerta[.]cc
adaudit[.]omerta[.]cc
adcollective[.]omerta[.]cc
addressing[.]omerta[.]cc
admin[.]admin[.]admin[.]admin[.]admin[.]omerta[.]cc
admin[.]admin[.]admin[.]admin[.]omerta[.]cc
admin[.]admin[.]admin[.]admin[.]www[.]omerta[.]cc
admin[.]admin[.]admin[.]hostmaster[.]omerta[.]cc
admin[.]admin[.]admin[.]www[.]omerta[.]cc
admin[.]admin[.]omerta[.]cc
admin[.]admin[.]www[.]omerta[.]cc
admin[.]www[.]omerta[.]cc
aedwardes[.]omerta[.]cc
alizee[.]omerta[.]cc
annona[.]omerta[.]cc
aoptical[.]omerta[.]cc
artsetmetiers[.]omerta[.]cc
assises[.]omerta[.]cc
at-m-login-init-org-ssl-ymnoygde[.]omerta[.]cc
b[.]wzyeirrg[.]omerta[.]cc
bchfr[.]omerta[.]cc
covcdxlp[.]omerta[.]cc
crypto[.]omerta[.]cc
default[.]_bimi[.]omerta[.]cc
dwww[.]omerta[.]cc
globalviewer[.]omerta[.]cc
gwwgezulma[.]omerta[.]cc
imap[.]omerta[.]cc
iscapsolutions[.]omerta[.]cc
nhyqgdwww[.]omerta[.]cc
oa[.]omerta[.]cc
of[.]b[.]wzyeirrg[.]omerta[.]cc
online[.]puagjosn[.]omerta[.]cc
production[.]online[.]puagjosn[.]omerta[.]cc
puagjosn[.]omerta[.]cc
random[.]aoptical[.]omerta[.]cc
ru[.]covcdxlp[.]omerta[.]cc
scandikitchen[.]omerta[.]cc
server-online-a-dev-free-metric-ru-onkjmmtl[.]omerta[.]cc
smtp[.]omerta[.]cc
stage[.]vpn[.]cms[.]support[.]at[.]ru[.]covcdxlp[.]omerta[.]cc
support[.]at[.]ru[.]covcdxlp[.]omerta[.]cc
testmobile[.]omerta[.]cc
toners[.]omerta[.]cc
tucs[.]omerta[.]cc
ubs[.]omerta[.]cc
uds[.]omerta[.]cc
uipiqbchfr[.]omerta[.]cc
uk[.]production[.]online[.]puagjosn[.]omerta[.]cc
unbee[.]omerta[.]cc
veiv[.]omerta[.]cc
vpn[.]cms[.]support[.]at[.]ru[.]covcdxlp[.]omerta[.]cc
vsi[.]omerta[.]cc
vx[.]omerta[.]cc
weh[.]omerta[.]cc
wgcdn[.]omerta[.]cc
wstp[.]omerta[.]cc
xlc[.]omerta[.]cc
xobuabchfr[.]omerta[.]cc
ytimg[.]omerta[.]cc
yurisearch[.]omerta[.]cc
zulma[.]omerta[.]cc
2[.]cvv-union[.]at
_bimi[.]cvv-union[.]at
_dmarc[.]cvv-union[.]at
_mta-sts[.]cvv-union[.]at
admin[.]admin[.]admin[.]admin[.]admin[.]cvv-union[.]at
admin[.]admin[.]admin[.]admin[.]admin[.]www[.]cvv-union[.]at
admin[.]admin[.]admin[.]admin[.]cvv-union[.]at
admin[.]admin[.]admin[.]admin[.]www[.]cvv-union[.]at
admin[.]admin[.]admin[.]cvv-union[.]at
admin[.]admin[.]admin[.]www[.]cvv-union[.]at
admin[.]admin[.]cvv-union[.]at
admin[.]admin[.]www[.]cvv-union[.]at
admin[.]cvv-union[.]at
admin[.]www[.]cvv-union[.]at
cvv-union[.]at
default[.]_bimi[.]cvv-union[.]at
hwhimshop[.]cvv-union[.]at
kttcoadmin[.]admin[.]admin[.]admin[.]www[.]cvv-union[.]at
login[.]cvv-union[.]at
mail[.]cvv-union[.]at
omah[.]cvv-union[.]at
owrbflogin[.]cvv-union[.]at
signup[.]cvv-union[.]at
staging[.]cvv-union[.]at
uvblswww[.]staging[.]cvv-union[.]at
www[.]cvv-union[.]at
ydmiwwww[.]staging[.]cvv-union[.]at
admin[.]admin[.]admin[.]admin[.]admin[.]union-shop[.]at
admin[.]admin[.]admin[.]admin[.]admin[.]www[.]union-shop[.]at
admin[.]admin[.]admin[.]admin[.]union-shop[.]at
admin[.]admin[.]admin[.]admin[.]www[.]union-shop[.]at
admin[.]admin[.]admin[.]union-shop[.]at
admin[.]admin[.]admin[.]www[.]union-shop[.]at
admin[.]admin[.]union-shop[.]at
admin[.]admin[.]www[.]union-shop[.]at
admin[.]union-shop[.]at
admin[.]www[.]union-shop[.]at
union-shop[.]at
www[.]union-shop[.]at
arculusupgrade[.]net
arculusupport[.]com
www[.]arculusupgrade[.]net
www[.]arculusupport[.]com
arculushub[.]com
onioploverans[.]at
newolymp[.]ru
tisv6ma68f[.]com
baiakmma[.]com
bug6skv6dw[.]com
hcw2wytgpo[.]com
4nhaarmgex[.]com
niksplus[.]ru
qiweassa[.]com
morfiuscc[.]pro
arculus[.]in
arculufi[.]com
d-s-p[.]ru
mail[.]obozintsev[.]ru
frixes[.]life
app[.]defgyma[.]com
obozintsev[.]ru
liverds[.]at
192204-coinbase[.]com
unicea[.]ws
wise[.]riskarbs[.]com
tech-servers[.]in[.]net
tnc-corp[.]ru
nwgrus[.]ru
arculusdefi[.]com
olihonols[.]in[.]net
ftp[.]mzxn[.]ru
epohe[.]ru
yosoborno[.]com
100xmargin[.]com
mzxn[.]ru
gebeus[.]ru
llcbc[.]org
jkshb[.]su
movlat[.]com
check-ftp[.]ru
selltix[.]org
guteyr[.]cc
cellc[.]org
defgyma[.]com
dbfhns[.]in
bipto[.]org
benfoks[.]ru
1xst[.]ru
mail[.]sktice[.]com
sktice[.]com
cajgtus[.]com
sdfjhuz[.]com
IPアドレス:
63[.]143[.]98[.]185
95[.]86[.]30[.]3
95[.]178[.]198[.]144
95[.]178[.]213[.]100
123[.]214[.]62[.]28
130[.]204[.]1[.]83
159[.]0[.]229[.]102
161[.]132[.]94[.]226
177[.]222[.]41[.]236
179[.]52[.]106[.]82
186[.]23[.]249[.]254
186[.]101[.]193[.]110
187[.]199[.]140[.]132
187[.]228[.]100[.]237
189[.]195[.]132[.]134
190[.]16[.]5[.]248
190[.]140[.]81[.]252
190[.]147[.]128[.]172
190[.]147[.]200[.]151
190[.]224[.]203[.]37
190[.]249[.]139[.]21
195[.]158[.]3[.]172
197[.]44[.]54[.]74
197[.]134[.]192[.]101
201[.]191[.]99[.]134
211[.]202[.]224[.]10
212[.]112[.]110[.]243
