Silent Ransom Group、偽のITサポート電話で法律事務所を標的に

サイバーセキュリティ企業Mandiantの新たなレポートによると、恐喝グループ「Silent Ransom Group」が米国の法律事務所や専門サービス企業をソーシャルエンジニアリング攻撃で積極的に狙っており、最初の接触からわずか数時間以内にデータ窃取が行われるケースも確認されています。

このレポートは、先週FBIが公開したFLASHアドバイザリーを受けて作成されたものです。同アドバイザリーでは、Silent Ransom Groupが米国の法律事務所をソーシャルエンジニアリング攻撃や、さらには対面でのデータ窃取攻撃のターゲットにしていると警告しており、Mandiantは今回、侵入手口に関する詳細な技術情報を追加で提供しています。

Mandiantによると、UNC3753、Luna Moth、Chatty Spiderとも呼ばれるこの脅威グループは、2026年1月から5月にかけて、法務・金融・専門サービス分野の数十の組織を標的にしました。

Mandiantは、法律事務所が特に格好のターゲットとなっていると警告しています。その理由として、大量の高度に機密性の高いクライアント情報を保有しており、評判や規制上のダメージを避けるために恐喝に応じるプレッシャーを感じやすいことが挙げられています。

「法律サービス企業は、恐喝を企む攻撃者にとって価値の高いターゲットです。クライアントの取引ファイル、M&A計画、企業秘密、企業の規制関連報告書といった極めて機密性の高い情報を集中的に保有しているためです」とMandiantは説明しています。

「脅威グループは、法的機関が重大な評判リスクや規制上のリスクにさらされていることを熟知しており、専門家としての地位を守るために恐喝問題を穏便に解決しようとする動機が強いと見込んでいます。」

研究者らによると、攻撃は一般的なメールアカウントから送信される請求書を装ったフィッシングメールから始まります。これらのメールには悪意のあるリンクや添付ファイルは含まれておらず、その後に企業のITスタッフを装った攻撃者からの電話につなげるための前段階として機能します。

音声通話を悪用した攻撃は、こうした脅威アクターが長年にわたって使い続けてきた手口です。以前はRyukやContiランサムウェア攻撃に関連するBazarCallソーシャルエンジニアリングキャンペーンでも使用されていました。コールバック型フィッシング攻撃とは、一見無害に見えながら不安を煽るIT関連の内容を含むフィッシングメールを送り、受信者に記載された電話番号へ折り返し電話をかけさせる手口です。

今回のキャンペーンでは、Silent Ransom GroupがITヘルプデスクを装い、Microsoft Teams、Zoom、Quick Assist、またはMicrosoft Terminal Servicesを通じてリモートサポートセッションへの参加を従業員に促します。

セッション中、脅威アクターはターゲットをだましてAnyDesk、Zoho Assist、Bomgar、SuperOpsなどのリモート監視・管理ツールをインストールさせ、企業ネットワークへの初期アクセスを獲得します。

Mandiantはまた、このキャンペーンに関連するフィッシングドメインを発見しており、以下のような命名パターンで内部ITポータルに偽装していることも確認されています。

<organization>-itdesk[.]com
<organization>-it[.]com
<organization>-helpdesk[.]com

研究者らによると、脅威アクターはリモートサポートセッション中に自己消滅型メッセージサービスのprivnote[.]comを利用してターゲットにインストールリンクやコマンドを共有しています。Mandiantは、この手口がブラウザ履歴や企業のチャットログに残るフォレンジック痕跡を減らすために使われていると説明しています。

ネットワークへの侵入後、グループは契約書、税務記録、社会保障番号、M&Aファイルなどの機密性の高い法的・財務的文書を探します。攻撃者はよく文書管理プラットフォームやクラウドストレージを標的にし、WinSCPやRcloneなどのツールを使ってデータを外部に持ち出します。

Mandiantによれば、恐喝活動は非常に攻撃的で、攻撃者が被害者の環境から離脱してから30分以内に身代金要求が届くケースも多いとされています。

「この極めて攻撃的な恐喝メッセージは、組織に対して3日以内に返答し身代金交渉を開始するよう期限を設けています。被害組織が応答しない場合、脅威アクターは対象となる従業員や外部クライアントに直接電話やメールを送り、データ漏洩を通知すると宣言します」とMandiantは報告しています。

「恐喝メッセージでは、情報漏洩によってクライアントの信頼が損なわれ、多額の規制上の罰金が科される可能性があること、さらに外部クライアントがデータの不適切な取り扱いを理由に被害組織を提訴する可能性があることが明示されています。」

このレポートは、FBIの最近の警告にも言及しています。FBIはその中で、Silent Ransom Groupが米国の法律事務所に対して対面でのデータ窃取攻撃を行っていると警告していました。

FBIによると、攻撃者は電話やメールで社内のITスタッフになりすましたうえで、リモートアクセスの取得を試みるか、または実際にオフィスを訪問してコンピューターの「イメージング」やバックアップ作成を口実にファイルを密かに盗み出すとされています。

Mandiantはフォレンジック証拠が限られていると述べつつも、標的の類似性、タイムライン、および行動パターンの共通点から、こうした対面攻撃がUNC3753と関連している可能性が高いと研究者らは判断しています。

Silent Ransom Groupは少なくとも2022年から活動しており、当初はRyukおよびContiサイバー犯罪シンジケートの一部でした。

BleepingComputerが以前報じたように、この脅威アクターはかつてContiやRyukランサムウェア攻撃への初期アクセスをもたらしたBazarCallコールバック型フィッシングキャンペーンとの関連が指摘されていました。

2022年にContiシンジケートが解散した後、このグループはSilent Ransom Groupという名称のもと、単独でのデータ窃取・恐喝活動へと移行しました。

研究者らによると、このグループはもはや従来のランサムウェア暗号化に頼らず、機密データを窃取して漏洩をちらつかせながら被害者に支払いを迫るデータ窃取型恐喝に完全にシフトしています。

今週Resecurityが公開した別のレポートでは、このグループがデータ漏洩プラットフォームを隠蔽・保護するためにファストフラックスインフラを運用していることも明らかになりました。

DNSファストフラックスとは、攻撃者がドメインのIPアドレスを大量の侵害済みデバイスのプールを使って絶えず切り替えることで、インフラを隠蔽し、テイクダウンやブロッキングを困難にする手法です。

Resecurityによると、このインフラは複数の国やISPにまたがるレジデンシャルIPアドレスを使用しており、テイクダウンをより困難にしています。

Resecurityはまた、グループのデータ漏洩サイト「business-data-leaks[.]com」および関連インフラが、ラテンアメリカ、東欧、中央アジア、中東、アジアに広がるレジデンシャルプロキシネットワークに依存していることも明らかにしました。研究者らはこのインフラを他のサイバー犯罪関連サービスやドメインとも結びつけています。

攻撃への対策として、MandiantとFBIの双方が次のことを推奨しています。ITサポートのやり取りに厳格な本人確認手順を導入すること、リモートアクセスツールの使用を制限すること、MFAを徹底すること、USBストレージデバイスの使用を制限すること、そして音声フィッシングの手口を見抜けるよう従業員へのトレーニングを実施することが挙げられます。