サイバーセキュリティ企業である**Mandiant**は、米国の法律事務所やその他の専門サービス組織を積極的に標的とする恐喝集団、**Silent Ransom Group**による攻撃的なキャンペーンに新たな光を当てました。このグループは、**UNC3753**、**Luna Moth**、**Chatty Spider**としても追跡されており、初期接触から数時間以内に機密データを窃取する能力を示しています。 このレポートは、最近の**FBI**のFLASH勧告を拡張したもので、以前から**Silent Ransom Group**が米国の法律事務所を標的にしていること、さらには対面でのデータ窃取の試みについても警告していました。**Mandiant**の調査結果は、このグループの侵入方法に関する重要な技術的詳細を提供しています。 ### 法律事務所が主要な標的となる理由 2026年1月から5月にかけて、法律、金融、専門サービス分野の数十の組織がこれらの攻撃の犠牲となりました。法律事務所は、取引ファイル、M&A計画、企業秘密、企業規制報告書など、大量の機密性の高いクライアントデータを保有しているため、特に魅力的な標的となっています。 攻撃者は、法律機関が重大な評判リスクと規制リスクに直面していることを認識しており、専門的な地位とクライアントの信頼を守るために、恐喝の要求を静かに解決することに非常に意欲的です。 ### ソーシャルエンジニアリングのプレイブック 攻撃は通常、コンシューマーアカウントから送信される請求書をテーマにしたフィッシングメールで開始されます。これらの初期メールは無害で、悪意のあるリンクや添付ファイルは含まれておらず、フォローアップの電話の単なる前触れとして機能します。これらの電話で、攻撃者は企業のIT担当者を装い、従業員を**Microsoft Teams**、**Zoom**、**Quick Assist**、**Microsoft Terminal Services**などのプラットフォームを介したリモートサポートセッションに参加するように騙します。 このコールバック型フィッシング技術は、これらの攻撃者にとって長年の定番となっており、以前は**Ryuk**および**Conti**ランサムウェア攻撃に関連する**BazarCall**キャンペーンで見られました。被害者に電話をかけ直すように促すことで、攻撃者は従来のメールセキュリティ対策を回避します。 リモートセッション中、標的は**AnyDesk**、**Zoho Assist**、**Bomgar**、**SuperOps**などの正規のリモート監視および管理ツールをインストールするように説得され、それによって攻撃者に企業のネットワークへの初期アクセスを許可します。  ### 侵入と窃取の戦術 **Mandiant**は、次のような命名規則を使用して、内部ITポータルを模倣するように設計されたフィッシングドメインも特定しました。 * `<organization>-itdesk[.]com` * `<organization>-it[.]com` * `<organization>-helpdesk[.]com` 検出をさらに回避するために、攻撃者は自己破壊型メッセージングサービスである`privnote[.]com`を使用して、リモートサポートセッション中にインストールリンクとコマンドを共有します。これにより、ブラウザ履歴や企業のチャットログでのフォレンジックアーティファクトが最小限に抑えられます。 ネットワークに侵入すると、グループは契約書、税記録、社会保障番号、M&Aファイルなど、機密性の高い法律および財務文書を綿密に検索します。彼らは一般的にドキュメント管理プラットフォームやクラウドストレージリポジトリを標的にし、**WinSCP**や**Rclone**などのツールを使用してデータを窃取します。 ### 攻撃的な恐喝と進化する戦術 **Silent Ransom Group**の恐喝操作は著しく攻撃的であり、身代金要求は攻撃者が被害者の環境を離れてから通常30分以内に届きます。これらの要求は通常、交渉のために3日間の期限を設けています。従わない場合、ターゲットの従業員や外部のクライアントに直接連絡し、データ侵害を公開し、評判への損害、規制上の罰金、クライアント訴訟の可能性を強調すると脅迫されます。 フォレンジック証拠は限られていますが、**Mandiant**は、**FBI**による対面でのデータ窃取攻撃の警告が、標的、タイムライン、および運用行動の類似性から、**UNC3753**に関連している可能性が高いと考えています。 **Silent Ransom Group**は少なくとも2022年から活動しており、当初は**Ryuk**および**Conti**サイバー犯罪シンジケートの一部でした。**Conti**シンジケートの閉鎖後、グループは従来のランサムウェア暗号化を放棄し、純粋なデータ窃取と圧力戦術に移行し、スタンドアロンのデータ窃取と恐喝に移行しました。 別のレポートで、**Resecurity**は、このギャングがデータ漏洩プラットフォームを隠蔽および保護するために高速フラックスインフラストラクチャも採用していることを明らかにしました。この方法は、多数の国やISPにわたる侵害された住宅用デバイスの大規模プールを通じてドメインのIPアドレスを継続的にローテーションさせることで、テイクダウンとブロックを大幅に困難にします。**Resecurity**は、グループの`business-data-leaks[.]com`リークサイトを、ラテンアメリカ、東ヨーロッパ、中央アジア、中東、アジア全域の住宅用プロキシネットワークを介して運用されるそのようなインフラストラクチャに関連付けています。 ### 防御に関する推奨事項 これらの脅威を軽減するために、**Mandiant**と**FBI**は堅牢なセキュリティ対策を推奨しています。 * すべてのITサポートインタラクションに対して厳格な検証手順を実装する。 * リモートアクセスツールの使用を制限する。 * すべてのシステムで多要素認証（MFA）を強制する。 * USBストレージデバイスの使用を制限する。 * ボイスフィッシング（vishing）の試みを認識し、報告するための定期的な従業員トレーニングを実施する。