Black Bastaランサムウェア組織の元メンバーが2025年にMicrosoft TeamsフィッシングとPythonスクリプトを組み合わせた新たな攻撃手法を展開している。
ReliaQuestの報告によると、2025年2月から5月にかけて観測されたTeamsフィッシング攻撃の50%がonmicrosoft.comドメインから発信され、42%が侵害されたドメインを使用した。
攻撃者はcURLリクエストを使用してPythonスクリプトを取得・実行し、コマンド・アンド・コントロール通信を確立する。Black Bastaは2025年2月に内部チャットログが漏洩し、データリークサイトが閉鎖された。
元メンバーの多くはCACTUS RaaSグループに移行したとみられ、リーダーのTrumpがCACTUSに50万~60万ドルの支払いを言及していた。
金融・保険・建設セクターが主要な標的となっており、攻撃者はヘルプデスク担当者になりすましてQuick AssistやAnyDeskを使用してリモートアクセスを獲得する。
From: 
Former Black Basta Members Use Microsoft Teams and Python Scripts in 2025 Attacks
【編集部解説】
今回のBlack Basta元メンバーによる攻撃手法の進化は、サイバーセキュリティ業界にとって重要な転換点を示しています。複数のセキュリティ企業の調査により、2025年2月11日にTelegramユーザー@ExploitWhispersによってBlack Bastaの内部チャットログが漏洩されたことで、同組織は事実上解体状態に陥りました。
しかし、組織の解散が必ずしも脅威の終息を意味しないことが、今回の事案で明確になっています。Rapid7やSophosの調査でも確認されているように、元メンバーたちは既存の攻撃手法を維持しながら、新たな技術要素を組み込んで活動を継続している状況です。
特に注目すべきは、Microsoft Teamsという企業コミュニケーションツールの悪用が組織的に行われている点でしょう。NVISOの詳細分析によると、攻撃者は新しいM365テナントを設定して正規組織を装い、1時間に数千通のスパムメールで標的をメール爆撃した後、Teamsでヘルプデスク担当者になりすます手法を確立しています。
Pythonスクリプトの導入は技術的な進歩を示しています。従来のJavaベースRAT(リモートアクセストロイの木馬)に加えて、cURLリクエストを活用した動的なペイロード取得機能により、検知回避能力が大幅に向上しました。Sophosの調査では、STAC5143とSTAC5777という2つの脅威クラスターが確認されており、それぞれ異なる技術的アプローチを採用しています。
組織の移行パターンも興味深い側面です。漏洩チャットログからBlack BastaリーダーのTrumpがCACTUSに50万~60万ドルの支払いを言及していたことが判明しており、これは組織間の資金移動や人材流動を示唆しています。LevelBlueの調査では、2024年12月から2025年2月にかけて十数回の攻撃試行が確認されており、アフィリエイトグループや初期アクセスブローカーによる活動継続が裏付けられています。
長期的な視点では、この事案はランサムウェア・アズ・ア・サービス(RaaS)エコシステムの強靭性を浮き彫りにしています。一つの組織が解体されても、技術とノウハウは他のグループに継承され、より洗練された形で復活する可能性が高いのです。
企業にとっては、従来のメール中心のセキュリティ対策だけでは不十分であることが明確になりました。Microsoft Teamsのような内部コミュニケーションツールに対する監視体制の強化と、従業員への継続的なセキュリティ教育が急務となっています。
【用語解説】
メール爆撃(Email Bombing)
標的のメールボックスに短時間で大量のスパムメールを送信し、サービス拒否状態を作り出す攻撃手法。1時間に数千通のメールが送信される場合もある。
ランサムウェア・アズ・ア・サービス(RaaS)
ランサムウェアを開発する組織が、実際の攻撃を行うアフィリエイトに技術とインフラを提供するビジネスモデル。収益は両者で分配される。
二重恐喝(Double Extortion)
データを暗号化するだけでなく、事前に機密データを窃取し、身代金が支払われない場合は公開すると脅迫する手法。
コマンド・アンド・コントロール(C2)
攻撃者がマルウェアに感染したシステムを遠隔操作するための通信チャンネル。
初期アクセスブローカー(IAB)
企業ネットワークへの不正アクセス権を取得し、他のサイバー犯罪者に販売する専門業者。
リモートアクセストロイの木馬(RAT)
感染したコンピューターを遠隔操作可能にする悪意のあるソフトウェア。
SOCKS5プロキシ
ネットワーク通信を中継するプロトコルの一種。攻撃者が身元を隠すために使用される。
cURL
コマンドラインでHTTP通信を行うためのツール。攻撃者がペイロードをダウンロードする際に使用される。
Quick Assist
Windowsに標準搭載されているリモートサポート機能。攻撃者がソーシャルエンジニアリングで悪用する。
DLLサイドローディング
正規のアプリケーションに悪意のあるDLLファイルを読み込ませる攻撃手法。
【参考リンク】
ReliaQuest(外部)
AI駆動のセキュリティオペレーションプラットフォーム「GreyMatter」を提供するサイバーセキュリティ企業
Rapid7(外部)
脆弱性管理やインシデント対応ソリューションを提供するサイバーセキュリティ企業
Sophos(外部)
エンドポイント保護とネットワークセキュリティソリューションを提供する英国のサイバーセキュリティ企業
NVISO(外部)
ベルギーに本社を置くサイバーセキュリティコンサルティング企業。脅威ハンティングと事案対応を専門とする
LevelBlue(旧AT&T Cybersecurity)(外部)
マネージド検知・対応(MDR)サービスを提供するサイバーセキュリティ企業
Microsoft Teams(外部)
Microsoftが提供するビジネス向けコミュニケーション・コラボレーションプラットフォーム
CISA(米国サイバーセキュリティ・インフラセキュリティ庁)(外部)
米国の国土安全保障省傘下のサイバーセキュリティ専門機関
【参考動画】
【参考記事】
Gone But Not Forgotten: Black Basta’s Enduring Legacy(外部)
ReliaQuestによるBlack Bastaの衰退と遺産に関する詳細分析。漏洩チャットログの内容と攻撃手法の継続について解説
BlackSuit Escalates Social Engineering Attacks Amid Black Pasta Rift(外部)
Rapid7によるBlackSuitランサムウェアグループがBlack Bastaの手法を採用している可能性について分析
Detecting Teams Chat Phishing Attacks (Black Basta)(外部)
NVISOによるMicrosoft Teamsを悪用したBlack Bastaのフィッシング攻撃の検知手法について詳細解説
【編集部後記】
今回のBlack Basta事案を見て、皆さんの組織ではMicrosoft Teamsのセキュリティ設定をどこまで見直されていますか?従来のメール中心の対策だけでは、もはや十分とは言えない状況になっています。
特に、ヘルプデスクを装った巧妙な手口に対して、従業員の皆さんはどのような判断基準をお持ちでしょうか?また、PythonスクリプトやcURLといった技術的な攻撃手法の進化を踏まえ、皆さんの会社ではどのような新しいセキュリティ対策を検討されているでしょうか?ぜひSNSで教えてください。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
