MandiantのGoogle脅威インテリジェンスグループ(GTIG)が公表した情報によると、脅威クラスター「UNC3753」(別名:Luna Moth、Chatty Spider、Silent Ransom Group)が、米国の法律・金融・専門サービス業界の数十組織を標的とした、金銭目的の活発なキャンペーンを展開しています。
このキャンペーンでは、音声フィッシング(ビッシング)、リモート監視・管理(RMM)ツールの悪用、そして一部のケースでは物理的なオフィスへの侵入も組み合わせ、機密性の高いクライアントデータを窃取して恐喝に利用しています。
Mandiantが調査した複数のインシデントでは、最初の接触からデータ窃取・恐喝に至るまでの一連の攻撃が、わずか1営業日以内に完結しています。また、データのステージングと持ち出しが1時間未満で始まったケースも確認されています。
攻撃は、攻撃者が管理する一般消費者向けアカウントから送信される、無害な請求書を装ったメールから始まります。
これらのメールには悪意のあるリンクや添付ファイルは含まれておらず、「昨日お話しした請求書をお送りします」といった口実で標的に架電への期待を持たせる仕掛けになっています。
続いて攻撃者は、企業のウェブサイトから直接収集した従業員の連絡先情報を使い、社内のITヘルプデスクやセキュリティチームになりすましてビッシング(音声フィッシング)電話をかけると、Googleは説明しています。
標的が信用すると、Zoom、Microsoft Teams、Quick Assistを使った画面共有セッションへの参加を促されます。
次に攻撃者は被害者に対し、AnyDesk、Bomgar、Zoho Assist、SuperOpsなどの商用RMMエージェントをダウンロードさせ、持続的なリモートアクセスを確立します。
エンドポイントに痕跡を残さずインストールリンクを送り込むために、UNC3753は閲覧後に自動消滅するメッセージプラットフォーム「Privnote」を一貫して利用しています。実際のセッションで観測された、代表的なcURLのステージングコマンドは以下のとおりです。
初期アクセスを確立した後、攻撃者はBYODエンドポイントを踏み台にして企業の仮想デスクトップインフラ(VDI)に侵入し、Windows365.exeやCitrixなどのクライアントを活用します。
VDI環境内では、OneDriveフォルダやマップされたネットワークドライブを列挙し、iManage文書リポジトリをキーワード検索で精査します。標的となるのは、W-2フォーム、W-9、1099、社会保障番号、クライアントとの法的合意書、監査記録などです。
データの持ち出しには、攻撃者が管理するGoogleドライブへのブラウザ経由の直接アップロード、WinSCPおよびRcloneを使ったFTP/SFTPによる大量転送、さらには被害者にステージングされたファイルを攻撃者管理のアドレス宛にメール送信させる手口が用いられています。
特筆すべきあるインシデントでは、攻撃者はまずGoogleドライブで1.7GBのデータを持ち出した後、WinSCPを使ってさらに14.4GBを追加窃取しています。
FBIのサイバーFLASHアラートでも裏付けられた重大な戦術的エスカレーションとして、IT技術者を装った人物が企業オフィスに物理的に侵入し、USBストレージメディアによるデータ窃取を試みる事例が発生しています。
GTIGの評価によると、これらのインシデントはUNC3753との構造的・時系列的・標的選定の重複から同グループによるものと判断されており、恐喝キャンペーンでは極めて稀なデジタルと物理の脅威ベクターの融合を示しています。
GTIGによると、UNC3753は被害者の環境から離脱してから30分以内に、交渉期限をわずか3日とする攻撃的な恐喝メールを送りつけます。
応答がない場合は従業員やクライアントへの直接連絡へとエスカレートし、hxxps[:]//business-data-leaks[.]comで運営されるデータ漏洩サイト(DLS)「LEAKEDDATA」での盗取データ公開を脅し文句に使います。
UNC3753は少なくとも2022年3月から活動しており、「BazarCall」キャンペーンを展開したUNC2686とTTPの重複が見られます。このクラスターは2022年にLOCKBIT.BLACKを展開した後、恐喝専業の活動にシフトしています。
注意:IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐために意図的に無害化(デファング)されています(例:[.])。再ファング処理はMISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム上でのみ行ってください。
法律・専門サービス企業は、機密性の高いクライアントデータが集中していることと、レピュテーションリスクへの高い感受性から、恐喝の格好の標的であり続けています。UNC3753によるビッシング、RMM悪用、そして今回の物理的侵入の組み合わせは、その脅威の深刻化を如実に示しています。
翻訳元: https://cyberpress.org/unc3753-targets-us-law-firms/
