UNC3753(Luna Moth、Chatty Spider、Silent Ransom Groupとも呼ばれる)による集中的なデータ窃取・恐喝キャンペーンが、米国の専門サービス、法律、金融サービス企業の数十社を標的にしています。
このグループの特徴は、迅速かつ人間中心の侵害手法にあります。ボイスフィッシング(ビッシング)、ソーシャルエンジニアリング、正規のリモートサポートツールの悪用、さらには場合によっては物理的なオフィスへのアクセスを組み合わせ、機密性の高い法的・財務・個人識別情報を素早く収集して即座に恐喝に利用します。
UNC3753は、攻撃者が管理するコンシューマーアカウントから、無害に見える請求書や移行をテーマにしたメールを送って最初のコンタクトを図ります。
これらのメッセージにはマルウェアは含まれておらず、受信者がその後の電話に応じやすくなるよう、もっともらしい口実を作る役割を担っています。
オペレーターは公開情報から従業員の名前、電話番号、役職を収集し、社内のITスタッフやセキュリティ担当者を装って直接電話をかけます。
スクリプトに沿った会話で標的を説得し、画面共有セッションへの参加やリモート監視・管理(RMM)ツールのダウンロードに誘導します。フォレンジックの痕跡を最小限に抑えるため、privnote[.]comのような自己消滅型テキストサービスを通じた一時的なメッセージでインストーラーを実行させることも多くあります。
Mandiantは、脅威クラスターUNC3753(「Luna Moth」「Chatty Spider」「Silent Ransom Group」とも追跡されている)による金銭目的のデータ窃取恐喝キャンペーンを特定しました。
Zoom、Microsoft Teams、Quick Assist、AnyDesk、Bomgar、Zoho Assist経由、あるいは商用RMMエージェントをインストールしてサポートセッションが確立されると、攻撃者は環境を直接操作するか、従業員に特定の検索を実行させます。
Silent Ransom Groupによる米国法律事務所への攻撃
攻撃者はiManage、OneDrive、マップされたネットワークドライブ、VDI上の企業デスクトップを優先的に狙い、必要に応じてBYODエンドポイントを踏み台にして企業仮想デスクトップ(Windows 365、Citrix)へ侵入します。
Mandiantは、攻撃のライフサイクル全体が1営業日に収まるケースを観測しており、ステージングと最初のデータ流出が1時間以内に完了する場合もあります。
データ収集は精密に行われます。キーワード検索で税務書類(W‑2、W‑9、1099)、社会保障番号(SSN)、独自のクライアント契約書など、価値の高い法的資料を特定します。
データ流出の手法は実用的で柔軟です。攻撃者が管理するコンシューマークラウドアカウントへのブラウザベースのアップロード、ポータブルなWinSCPやRcloneバイナリの使用、FTP/SFTPによる転送、または被害者にアーカイブを外部アドレスにメールで送るよう指示するなど、さまざまな方法を使い分けます。
ある事例では、UNC3753はOneDriveから1.7 GBをGoogle Driveにアップロードし、さらにWinSCP経由で追加の14.4 GBを流出させました。その後、Googleは関与したアカウントを無効化しています。
データ窃取後、UNC3753は通常30分以内に攻撃的な恐喝要求を送りつけます。LEAKEDDATAデータリークサイトでの公開を脅し、規制当局からの制裁金、クライアントからの訴訟、評判の失墜を警告します。
要求には3日以内という厳しい期限が設けられており、圧力を最大化するためにクライアントや従業員に直接連絡すると脅迫します。
このグループの初期の活動にはランサムウェアの展開(2022年のLOCKBIT.BLACK)も含まれていましたが、最近の活動では純粋なデータ窃取と恐喝に重点を置いています。
MandiantとGoogle Threat Intelligenceは、インフラの重複、被害者のパターン、作戦の特徴を根拠に、このキャンペーンをUNC3753に帰属させています。FBIも関連する物理的アクセスの試みに関するCyber FLASHアラートを発行しており、技術者を装った人物がUSBドライブにデータをコピーしようとした事例が記録されています。
これらの対面型インシデントは、デジタルテレメトリを回避するという懸念すべきエスカレーションを示しており、物理的アクセス制御の脆弱性を浮き彫りにしています。
防御の優先事項として、人間に焦点を当てたトレーニングと技術的な制御を組み合わせることが求められます。具体的には、ビッシングへの意識向上教育、技術者に対する厳格な帯域外検証、訪問者のエスコートと認証情報の記録、未承認のRMMや画面共有バイナリのブロック、VDIとVPNを企業デバイスのみに制限する条件付きアクセスなどが挙げられます。
文書リポジトリへのMFA(多要素認証)の強制適用、バイトカウント付きのセッションレベルログの有効化、iManageやSharePointでの検索ワードの急増に対するリアルタイムアラートの設定は、滞在時間とデータ流出のリスクを低減させます。
このキャンペーンは、巧みな攻撃者が社会的信頼と物理的な近接性を武器にして境界防御を突破しようとしているという厳しい現実を浮き彫りにしています。
機密性の高いクライアントデータの管理者である法律・専門サービス企業は、急速に進化するこの恐喝の脅威に対抗するため、物理的なセキュリティとユーザーの行動をネットワーク強化と同等に重要視しなければなりません。
侵害の痕跡(IOC)
| IOCタイプ | インジケーター |
| IPv4アドレス | 192.236.147.131 |
| IPv4アドレス | 192.236.147.138 |
| IPv4アドレス | 193.141.60.212 |
| IPv4アドレス | 192.236.154.158 |
| IPv4アドレス | 192.236.146.173 |
| IPv4アドレス | 174.169.162.62 |
| IPv4アドレス | 64.94.84.97 |
注意: IPアドレスとドメインは、誤った名前解決やハイパーリンクを防ぐために意図的にデファング処理(例:[.])されています。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してください。
翻訳元: https://gbhackers.com/silent-ransom-group-targets-us-legal-firms/
