Mandiant (Google Cloud)はこのほど、「UNC3944 Leverages SMS Phishing Campaigns for SIM Swapping, Ransomware, Extortion, and Notoriety|Mandiant」において、「UNC3944」と呼ばれるサイバー攻撃者が収益を拡大するため、ランサムウェアを用いた活動に移行しはじめたと伝えた。
Mandiantによると、UNC3944は金銭目的で活動する組織であり、恐喝目的で大量の機密データを窃取することに重点を置いているという。これまで通信やビジネスプロセスアウトソーサーを狙っていたが、医療、小売、メディア、エンターテイメント、金融サービスなどに標的を拡大しており、脅威が増大しているとのこと。
UNC3944は初期アクセスにソーシャルエンジニアリング攻撃を使用する。SMSフィッシングキャンペーンや電話によるソーシャルエンジニアリングを頻繁に使用し、パスワードのリセットや多要素認証(MFA: Multi-Factor Authentication)コードを入手して標的に侵入する。侵入後は公開されているツールや、地下フォーラムで販売されているマルウェアを使った攻撃を行う。攻撃はセキュリティ対応チームを圧倒する可能性さえあるほどの速さで行われ、数日にわたって大量の重要なデータを窃取する。攻撃後は脅迫のために被害者と積極的なコミュニケーションを取る。
Mandiantは今後の見通しとして、UNC3944は他のランサムウェアブランドや恐喝など、より破壊的で収益性の高い攻撃に手段を拡大すると予想している。MandiantはMicrosoft Entra ID(旧Microsoft Azure Active Directory)を利用している組織に対し、被害を軽減するために次の対策を推奨している。
- 番号参照によるMicrosoft Authenticatorを強制し、多要素認証検証オプションからSMS(Text message to phone)を削除する
- 信頼できるネットワークの場所からの認証と、デバイスのコンプライアンスの確保を要求することで多要素認証およびSSPRの登録が安全であることを保証する(参考:「Control security information registration with Conditional Access - Microsoft Entra | Microsoft Learn」)
- ユーザーが信頼できるネットワークの場所から認証している場合やデバイスのコンプライアンスを確保している場合のみ、アクセスを許可する条件付きアクセスポリシーを作成して、Microsoft AzureおよびMicrosoft 365の管理機能への外部からのアクセスをブロックする
Mandiantはソーシャルエンジニアリング攻撃を多用するUNC3944のような攻撃者への対抗策として、さらに、ヘルプデスク(ユーザサポート)がパスワードや多要素認証のリセットを実行する前にビデオ通話による顔認証を提案している。事前に提出されている身分証明書などの写真と比較することで、ソーシャルエンジニアリング攻撃を防止できる可能性がある。MandiantはUNC3944の攻撃に対抗するために、さらに掘り下げた追加リソースを今後提供する予定としている。