オンラインで騙せなければ、直接出向く——。GoogleのMandiantインシデント対応チームによると、データ窃取・恐喝グループが1月から5月にかけて米国の銀行、法律事務所、その他の専門サービス企業「数十社」を標的にし、偽のヘルプデスク電話などのソーシャルエンジニアリング手口を使って企業のITシステムへの侵入を試みています。
こうしたリモートによる欺瞞が通用しない場合、犯罪者はITエンジニアを装って被害企業のオフィスに直接乗り込み、USBドライブを使って機密ファイルを盗み出そうとすることもあります。
Googleの脅威ハンターはこの恐喝グループを「UNC3753」として追跡していますが、他のアナリストはLuna Moth、Chatty Spider、Silent Ransom Groupなどとも呼んでいます。このグループは2022年から活動しており、当初は偽のソフトウェア更新メールや請求関連の誘い文句——通常、攻撃者が管理するコールセンターの電話番号が記載されたPDF添付ファイルを含む——を初期アクセスの手段として使用していました。
2025年3月頃から、犯罪者たちは戦術を転換し、ITヘルプデスクスタッフを装う手口に移行しています。
「UNC3753は主にデジタルを介した手口に依存していますが、GTIGの評価では、関連する脅威アクターが物理的な直接アクセスによるデータ窃取も試みていることが確認されています」と、GoogleのインシデントレスポンダーおよびリサーチャーであるChad Reams、Tufail Ahmed、Keith Knapp、Ashley Frazer、Tyler McLellanの各氏が金曜日のブログ記事で述べています。
著者らはこの対面手口の裏付けとして、5月のFBI警告も引用しています。
連邦当局によると、Silent Ransom Groupの犯罪者たちはこの春にも法律事務所のオフィスに直接乗り込んでいます。現地に到着すると、セキュリティ上の理由でデバイスのイメージングやローカルバックアップが必要だとITサポートスタッフを装って申告します。この話術が通じれば、被害者のコンピュータにUSBドライブを挿し込み、昔ながらの方法でデータを盗み出します。
「限られたフォレンジック証拠と、その後の恐喝が確認されていないことから正式な帰属認定はできないものの、GTIGは構造的・時系列的・標的選定上の重複を根拠に、これらの物理的侵入がUNC3753に関連する可能性が高いと評価しています」とブログは述べています。
Googleは今回の攻撃で標的となった企業の具体的な数や、そのうち何社が実際に犯罪者の訪問を受けたかについては明らかにしていません。
「特定の調査に関する詳細は共有できませんが、Mandiant CTOのCharles Carmakal氏は、この手口はこれまでにも観察されてきたと指摘しています。Mandiantは、敵対者がインサイダーを潜り込ませたり、従業員を買収したり、あるいは建物に物理的に侵入してサイバー攻撃を実行しようとしたさまざまな事案を調査してきました」と広報担当者はThe Registerに語っています。
UNC3753の攻撃においてもう一つ注目すべき点は、その速さです。Mandiantが調査した多くのインシデントでは、最初の接触からデータ恐喝まで、すべてが1日以内に完結しています。「最近では、データの検索・集積・窃取が1時間以内に開始されたケースも確認されています」と脅威アナリストたちは警告しています。
こうした侵入は通常、請求書をテーマにしたメールから始まりますが、悪意あるリンクや添付ファイルは含まれていないのが一般的です。このメールの目的はただ一つ——後で電話をかける口実を作ることです。そうすることで、受信者がその電話を正当なものだと信じやすくなります。
このグループの主な侵入手口は音声フィッシング(ビッシング)であり、この手法は過去数年にわたって他のグループでも大きな成果を上げてきたものです。ShinyHuntersやScattered Spiderなどもこの手法を活用してきました。
UNC3753は企業の従業員に直接電話をかけ、ヘルプデスクのスタッフやセキュリティチームのメンバーを装います。セキュリティ上の問題への対応や社内データ移行プロジェクトへの協力が必要だと称し、Zoom、Microsoft Terminal Services、Microsoft Teams、またはQuick Assistを使った画面共有セッションへの参加を誘導します。
Teamsを使って被害者のコンピュータにアクセスしたある侵入では、攻撃者が3日間にわたって同一の標的と5回もの通話を行ったとのことです。
Mandiantは、敵対者がインサイダーを潜り込ませたり、従業員を買収したり、あるいは建物に物理的に侵入してサイバー攻撃を実行しようとしたさまざまな事案を調査してきた
またMandiantが対応した複数のインシデントでは、UNC3753が標的の個人用ノートPCに直接Zoomセッションを確立し、そのマシンからWindows 365やCitrixクライアントなどのネイティブクライアントプラットフォームを使って企業の仮想デスクトップインフラ(VDI)にアクセスしていることも確認されています。
企業システムに侵入した後、攻撃者はローカルディレクトリとネットワークドライブをマッピングし、法務ドキュメントや文書管理リポジトリを重点的に標的にします。また非常に具体的なキーワード検索を駆使して、税務記録(W-2、W-9、1099フォーム)、監査ファイル、企業クライアント契約書、社会保障番号を含む機密フォルダを探し出し、流出に向けてデータを集積します。
UNC3753はセキュリティアラームを発動させることなく企業ITシステムからデータを持ち出すために、無料のWindowsファイルマネージャー「WinSCP」のポータブル版や、オープンソースのファイルシステムツール「Rclone」などを活用するいくつかの手法を使います。
被害者のブラウザからファイル共有アカウントにログインして盗んだファイルをアップロードする方法や、攻撃者が管理するメールアドレスにファイルを送るよう被害者に直接指示するケースも確認されています。
データを盗み出した後は、通常、被害者の環境から退出して30分以内に恐喝メールを送り、交渉開始のための3日間の期限を設定します。「双方にとって受け入れ可能な金銭的解決策を見つけられると信じています」と、ある恐喝メールには記されています。
さらにメールはこう続きます:
無視あるいは合意不成立の場合、貴社の従業員・パートナー・顧客に通知した上でデータを公開します。個人・法人からの情報漏洩および契約違反に関するクレームが相次ぎ、現在進行中の取引は打ち切られるでしょう。記者らをはじめ多くの人々が貴社の文書を調査し、矛盾や違反を暴くことになります。貴社は評判を失い、株価は下落し、最終的には閉鎖を余儀なくされます。
安全を守るための対策
金曜日のレポートでGoogleの脅威アナリストたちは、IPアドレスやその他の侵害指標(IoC)を公開しています。その中には、UNC3753がソーシャルエンジニアリング攻撃に使用する以下のフィッシングドメインも含まれており、いずれも標的組織のヘルプデスクを装うよう設計されています:<organization>-itdesk[.]com、<organization>-it[.]com、<organization>-helpdesk[.]com。
また、このグループや他のビッシング詐欺・物理的なオフィス侵入の被害を防ぐために企業が取るべき対策も複数提示しています。
物理的なセキュリティ対策としては、訪問者に公式の資格証明書と写真付き身分証明書の提示を求めること、受付スタッフがアクセスを許可する前にすべての訪問者IDを記録することが挙げられます。また、受付に現れた「技術者」が本物かどうかを確認するために事前予約の作業指示書を照合し、外部の技術サービス員には必ず社内の担当者が同行するようにすることも重要です。
ただし、こうした侵入の大半はオフィスへの物理的な侵入なしに行われるため、企業はリモートアクセスの条件付きアクセスポリシーを導入して、企業所有のデバイスのみがVDIやVPNに認証できるようにすることも求められます。さらに、未承認のリモートモニタリングおよびサポートユーティリティのインストールと実行をブロックすることも推奨されています。®
