「UNC3753」として知られる金銭的動機を持つ脅威アクターが、米国全土の法律事務所、専門サービス企業、金融機関を積極的に標的にしています。
2026年1月から5月にかけて活動するこのグループは、Silent Ransom Group、Luna Moth、Chatty Spiderとも呼ばれており、従来のランサムウェア展開を放棄し、純粋なデータ窃取による恐喝へと手口を転換しています。
このグループは、高度なビッシング(音声フィッシング)や物理的なオフィスへの侵入を駆使して、機密性の高い企業データを窃取しています。
攻撃者はその後、独自の法的契約書や財務記録を専用のLEAKEDDATAサイトに公開すると脅し、3日間という厳しい期限を設けて被害者に迫ります。
アクセスを確立した後、UNC3753はBYOD(私物デバイス持ち込み)環境を頻繁に悪用します。攻撃者は個人のエンドポイントを乗っ取り、企業の仮想デスクトップインフラ(VDI)へのアクセスを図ります。
そこからさらに、マッピングされたネットワークドライブやiManageなどの文書管理システムを組織的に探索します。
攻撃者は税務ログ、監査ファイル、社会保障番号などを重点的に狙い、窃取したデータをローカルユーザープロファイルに一時保存した後、WinSCPなどのポータブルFTPツールや攻撃者が管理するクラウドストレージへと転送します。
UNC3753は主にデジタルソーシャルエンジニアリングに依存していますが、最新の情報によれば、同グループは企業への物理的侵入を含む形で戦術をエスカレートさせています。
最近のFBIサイバーFLASHアラートもこの動向を裏付けており、リモートアクセスの試みが失敗した際に脅威アクターが直接被害者のオフィスへ人員を派遣していると組織に警告しています。
こうした物理的な工作員は、契約ITエンジニアを装います。そして、緊急のセキュリティアラートに対応するためローカルデバイスのイメージ作成やバックアップが必要だと主張します。
受付スタッフや従業員がエンドポイントへの物理的アクセスを許可すると、攻撃者はネットワーク境界を完全に回避し、企業データをリムーバブルUSBストレージに直接転送します。
この物理的な侵入手法は恐喝作戦の深刻なエスカレーションを意味しており、施設管理上のアクセス制御が脆弱であれば、いかに堅牢なネットワーク防御も無効化され得ることを示しています。
脅威アクターは窃取したデータを確保すると同時に、積極的な恐喝キャンペーンを開始します。UNC3753は通常、標的ネットワークから離脱してから30分以内に、ブランド名を記載しない恐喝メールを送信します。
これらのメールは、被害を受けた法律事務所や金融機関に対して、交渉を開始するまでの猶予としてわずか3日間を与えるものです。
Googleクラウドは、このハイブリッド脅威を軽減するには、物理的なセキュリティ境界とデジタルなセキュリティ境界のギャップを埋める必要があると述べています。セキュリティチームは、来訪するすべての技術者に対して厳格な帯域外本人確認を徹底し、外部のIT要員には常に担当者が付き添うよう義務付けなければなりません。
ネットワーク管理者はアプリケーション制御ポリシーを用いて、承認されていないRMMソフトウェアのインストールを監査・遮断する必要があります。また、物理的な情報持ち出しの脅威を無効化するために、すべての企業エンドポイントで外部USBマスストレージデバイスの読み書き機能を無効化することも非常に重要です。
脅威ハンティングを支援するために、セキュリティチームはネットワークフローで大量のSSHトラフィックを監視するとともに、-itdesk.comや-helpdesk.comで終わるドメインなど、社内ヘルプデスクを模倣した新規登録フィッシングドメインにも警戒が必要です。
注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐために意図的に無害化(デファング)されています(例: [.])。再活性化(リファング)は、MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/silent-ransom-targets-law-firms/
