脅威クラスター「UNC3753」は、サイレント・ランサム・グループまたはルナ・モスの名でも広く追跡されており、米国の専門職・法律・金融サービス業界を積極的に狙っています。
MandiantのGoogleスレット・インテリジェンス・グループ(GTIG)によると、この金銭目的のキャンペーンは、音声フィッシング(ビッシング)、リモート監視・管理(RMM)ツールの悪用、そして前例のない物理的なオフィス侵入を組み合わせた極めて効果的な手口を用いています。
攻撃者は初期接触からデータ窃取・恐喝に至る一連の手順を、わずか1営業日以内に完結させており、1時間以内にデータを持ち出したケースも確認されています。
キャンペーンはまず、攻撃者が管理するコンシューマーアカウントから送付される無害な請求書テーマのメールで始まります。悪意あるリンクやペイロードは含まれておらず、ターゲットへの事前接触として機能します。
UNC3753、米国法律事務所を標的に
Googleによると、攻撃者はその後、社内のITヘルプデスクまたはセキュリティ担当者を騙り、企業ディレクトリから直接収集した連絡先情報を使って被害者に電話をかけます。
被害者はZoom、Microsoft Teams、またはクイックアシストを通じて画面共有セッションへの参加を指示され、そこでAnyDesk、Bomgar、Zoho Assist、SuperOpsといった商用RMMエージェントをダウンロードするよう誘導され、持続的なリモートアクセスが確立されます。
攻撃者はPrivnoteの自動消滅メッセージを使ってインストールリンクを送付し、エンドポイントへの痕跡を最小限に抑えるためにサイレントインストールコマンドを実行することが多いです。
初期足掛かりを確保した後、脅威アクターは侵害したBYODエンドポイントからWindows 365やCitrixといったクライアントを経由して、企業の仮想デスクトップインフラ(VDI)環境へと移行します。
VDI内部に侵入すると、UNC3753はOneDriveフォルダやマップされたネットワークドライブを列挙します。特にiManageのドキュメントリポジトリをキーワード検索で標的とし、W-2フォーム、社会保障番号、監査記録、法的契約書など、機密性の高いクライアントデータを収集します。
データの窃取にはWinSCP、Rclone、および攻撃者が管理するGoogleドライブへの直接ブラウザアップロードが使用されます。Mandiantが調査したあるケースでは、このグループはGoogleドライブ経由で1.7GBのデータを転送した後、WinSCPへと切り替えてさらに14.4GBを抜き取っています。
このグループは最近、デジタルの領域を超えて戦術をエスカレートさせています。FBIのサイバーFLASHアラートでも裏付けられているとおり、ITテクニシャンを装った人物が実際に企業オフィスに侵入し、USBストレージを使って直接データを盗もうとするケースが確認されています。
侵害環境から離脱してから30分以内に、UNC3753は厳しい3日間の交渉期限を設けた強引な恐喝要求を送付します。要求に応じない場合、従業員やクライアントへの直接的な嫌がらせが行われるほか、窃取したデータをデータリークサイト「LEAKEDDATA」で公開するという脅しも行われます。
フィッシングドメイン
<organization>-itdesk[.]com<organization>-it[.]com<organization>-helpdesk[.]com
侵害指標(IOC)
| IOCタイプ | インジケーター |
| IPv4アドレス | 192.236.147.131 |
| IPv4アドレス | 192.236.147.138 |
| IPv4アドレス | 193.141.60.212 |
| IPv4アドレス | 192.236.154.158 |
| IPv4アドレス | 192.236.146.173 |
| IPv4アドレス | 174.169.162.62 |
| IPv4アドレス | 64.94.84.97 |
注意: IPアドレスおよびドメインは、誤ったアクセスやリンク化を防ぐために意図的にデファング処理(例:[.])されています。MISPやVirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみリファングしてください。
法律・専門職サービス企業がこうした積極的な攻撃手法に対抗するには、厳格なアクセス制御と行動監視の実装が有効です。
組織はWindows Defender Application Controlなどのアプリケーション制御ポリシーを適用し、許可されていないRMMバイナリをブロックする必要があります。
また、グループポリシーオブジェクト(GPO)またはモバイルデバイス管理(MDM)を通じて、企業端末およびBYODエンドポイント全体でUSBの読み書きアクセスを無効化することも不可欠です。
さらにセキュリティチームは、iManage、SharePoint、および企業VDIの入口に多要素認証を必須とするとともに、ポート22およびSSHトラフィックをアクティブに監視し、WinSCPやRcloneを使用して内部VDIから大量のデータ転送が行われていないかを確認する必要があります。
翻訳元: https://gbhackers.com/unc3753-targets-us-law-firms/
