米国連邦捜査局(FBI)は、過去2年間にわたり法律事務所を標的にしたルナモスとして知られる犯罪的な恐喝者によるソーシャルエンジニアリング攻撃について警告しました。
このキャンペーンは、「情報技術(IT)をテーマにしたソーシャルエンジニアリングの電話やコールバックフィッシングメールを利用して、システムやデバイスにリモートアクセスを取得し、被害者を恐喝するために機密データを盗む」とFBIはアドバイザリーで述べています。
ルナモスは、Chatty Spider、Silent Ransom Group(SRG)、Storm-0252、UNC3753とも呼ばれ、少なくとも2022年から活動していることが知られており、主にコールバックフィッシングまたは電話指向の攻撃配信(TOAD)と呼ばれる戦術を用いて、請求書やサブスクリプション支払いに関連する無害に見えるフィッシングメールに記載された電話番号にユーザーを誘導します。
ここで注目すべきは、ルナモスが以前にBazarCall(別名BazaCall)キャンペーンを実施し、Contiのようなランサムウェアを展開した同じハッキンググループを指していることです。脅威アクターはContiシンジケートの閉鎖後に独自の地位を確立しました。
具体的には、メール受信者は24時間以内にプレミアムサブスクリプションをキャンセルするためにカスタマーサポート番号に電話するよう指示され、支払いを回避します。電話の会話中に、被害者はリンクをメールで受け取り、リモートアクセスプログラムをインストールするように案内され、脅威アクターにシステムへの不正アクセスを許可します。
アクセスを得た攻撃者は、機密情報を抽出し、被害者に恐喝メモを送り、盗まれたデータが漏洩サイトで公開されたり、他のサイバー犯罪者に販売されたりしないように支払いを要求します。
FBIは、ルナモスのアクターが2025年3月以降、関心のある個人に電話をかけ、彼らの会社のIT部門の従業員を装っていると述べました。
「SRGはその後、従業員にメールで送信されたリンクを通じて、またはウェブページにアクセスしてリモートアクセスセッションに参加するよう指示します」と機関は述べました。「従業員がデバイスへのアクセスを許可すると、夜間に作業が必要であると伝えられます。」
脅威アクターは、被害者のデバイスへのアクセスを得た後、権限を昇格させ、RcloneやWinSCPのような正当なツールを利用してデータの抽出を容易にしています。
Zoho Assist、Syncro、AnyDesk、Splashtop、Ateraなどの正当なシステム管理またはリモートアクセスツールを使用して攻撃を実行するため、システムにインストールされたセキュリティツールによってフラグが立てられる可能性は低いです。
「侵害されたデバイスに管理者権限がない場合、WinSCPポータブルが被害者データの抽出に使用されます」とFBIは付け加えました。「この戦術は最近観察されたばかりですが、非常に効果的であり、複数の侵害を引き起こしました。」
防御者は、外部IPアドレスに行われたWinSCPまたはRclone接続、データが盗まれたと主張する無名のグループからのメールやボイスメール、電話番号を提供し、
保留中の更新料を削除するために電話を要求するサブスクリプションサービスに関するメール、IT部門で働いていると主張する個人からの未承諾の電話に注意を払うよう求められています。
この開示は、Reamaze Helpdeskやその他のリモートデスクトップソフトウェアを使用して米国の法律および金融セクターを標的にしたルナモスの「高テンポ」コールバックフィッシングキャンペーンを詳述したEclecticIQの報告に続くものです。
オランダのサイバーセキュリティ企業によれば、少なくとも37のドメインが3月にGoDaddyを通じて脅威アクターによって登録され、そのほとんどが標的組織のITヘルプデスクやサポートポータルを偽装していました。
「ルナモスは主にヘルプデスクをテーマにしたドメインを使用しており、通常はターゲットとなるビジネスの名前で始まります。例:vorys-helpdesk[.]com」とSilent PushはXでの一連の投稿で述べています。「アクターは比較的小さな範囲のレジストラを使用しています。アクターは限られた範囲のネームサーバープロバイダーを使用しているようで、domaincontrol[.]comが最も一般的です。」
翻訳元: https://thehackernews.com/2025/05/hackers-are-calling-your-office-fbi.html