コンテンツにスキップするには Enter キーを押してください

午前3時ランサムウェアがメール爆弾とビッシングのコンボ攻撃を採用

投稿日 2025年5月23日

赤い電話ヘッドセットを持つ手

出典: Brian Jackson via Alamy Stok Photo

またしても別の脅威グループが、システムへの初期アクセスを得てランサムウェアを展開するために、メール爆弾とビッシングを組み合わせるトレンドを採用しました。

今回、この手法を採用しているのは、最初にBlack Bastaランサムウェアグループの戦術として文書化された技術を用いる、最近登場した3AMランサムウェアグループであるとSophosの研究者が明らかにしました。最近のブログ投稿で。Sophosは今年の第1四半期に3AMの関係者による攻撃を発見し、既知のプレイブックに従い、ターゲットシステムからデータを盗むことに成功しましたが、ランサムウェア攻撃は完了しませんでした。

これ以前にも、さまざまなランサムウェアのアクターが、ターゲット組織の従業員に不要なメールを大量に送りつけ、その後Microsoft Teamsを介した音声またはビデオ通話を利用する攻撃パターンを利用してきました。通常、攻撃者は技術サポートチームのメンバーを装い、従業員をだましてQuick AssistやAnyDeskを使用してコンピュータへのリモートアクセスを許可させます。政府機関は最初にこのパターンをBlack Bastaから発見しましたが、その後、MicrosoftによってStorm-1811として追跡されているグループを含む他のグループが模倣しました。

実際、2024年11月から2025年1月中旬にかけて、Sophosだけでこの攻撃パターンを使用する2つの異なる脅威クラスターを15以上のインシデントで文書化し、55の他の試みられた攻撃も検出しました。

関連:Coinbaseの侵害で約7万人の顧客情報が危険にさらされる

プレイブックからの逸脱

3AMランサムウェアのアクターによる攻撃は、一般的に大量の不要なメールをターゲットに送りつけ、その後ビッシングコールを行うという同じプレイブックに従いますが、Sophosによればいくつかの明確な違いがあります。

攻撃の前に、3AMのアクターは組織に対して偵察を行い、攻撃をカスタマイズするための情報を収集しました。この情報には、会社の従業員に関連付けられたメールアドレスや、組織の内部IT部門の電話番号が含まれていました。

その後、攻撃は前者を利用して複数のメールリストに登録し、従業員がメール爆弾の被害者になるようにしました。Sophosによれば、”攻撃の初日、主要なターゲット従業員は3分間で24通の未承諾メールを受け取りました”と研究者は書いています。

その後、攻撃者はIT部門の電話番号をスプーフィングして、ビッシング攻撃中により説得力を持たせ、従業員をだましてQuick Assistを介してコンピュータにリモート接続させることに成功しました。攻撃者はターゲットシステムに展開した仮想マシンを介してQDoorトロイの木馬をロードし、ネットワークと最終的に盗まれたデータにアクセスしました。

関連:Dark Reading Confidential: 最も予想外の場所でAPTグループを発見した日

“ランサムウェア攻撃自体は阻止されましたが、攻撃者はランサムウェアを起動しようとする前に9日間ネットワークに留まり、この間にネットワークからデータを抽出しました”とSophosの研究者Sean Gallagher、Robert Weiland、Colin Cowieは投稿で書いています。Gallagherは主要な脅威研究者で、WeilandはSophosインシデント対応チームのリーダー、Cowieは脅威インテリジェンスアナリストです。

意識の重要性

3AMランサムウェアは、最初のBlack Basta展開が失敗した場合のバックアップとして使用された攻撃で、ほぼ2年前に登場しました。このグループは、2023年9月にSymantecによって最初に報告され、BlackSuit/Royalランサムウェアのリブランディングであると考えられ、解散したContiグループの主要な”チーム”の1つに関連しているとSophosは述べています。

増加する人気のあるメール爆弾/ビッシングベクトルの使用を考慮すると、組織はランサムウェアグループが現在展開する高度なソーシャルエンジニアリングに対して高い警戒を維持する必要があります。これは、”予期しないイベントによって引き起こされる混乱と緊急性の感覚を利用し、ターゲット個人を欺くことに依存しています。例えば、突然の不要なメールの殺到が仕事を中断するような状況です”と研究者は書いています。

関連:偽のKling AIマルバタイジングが偽の約束で被害者を誘う

実際、メール爆弾はしばらく存在していましたが、無料のメール爆弾ツールやユーザーを無料のメール購読に登録する有料サービスの台頭により、最近再び注目を集めており、懸念の原因となっていますと、Cofenseのフィッシング防御センターのシニアディレクターであるChance Caldwellは指摘しています。

これは、”これらの攻撃は特に検出とブロックが難しいためです。受信メッセージは通常、従来のセキュリティツールによって悪意のあるものとしてフラグされないからです”と彼は言います。”さらに、メールを一括でブロックすると、受信者に意図された他の正当なメールもブロックされる可能性があります。”

これらの攻撃を阻止するために防御者が取ることができるいくつかのステップには、ITサポートがどのように連絡を取るかをスタッフに正確に教育し、だまされないようにすること、複雑なパスワードの使用を強制すること、ソフトウェアとスクリプトのためのポリシー駆動のアプリケーション制御を展開することが含まれますとSophosは述べています。

翻訳元: https://www.darkreading.com/threat-intelligence/3am-ransomware-adopts-email-bombing-vishing

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です