Menlo Labs 연구팀은 최근 일본 MICARD와 아메리칸 익스프레스 사용자를 대상으로 피싱 공격을 수행하는 악성 인프라를 분석했습니다.이 인프라의 배후에 있는 위협 행위자는 동일한 공격 전술, 기법 및 절차 (TTP) 를 사용하여 새로운 도메인과 웹 사이트를 적극적으로 공격하고 있습니다.위협 행위자가 중국 출신이라는 확신을 갖고 평가합니다. 자세한 내용은 기사 뒷부분에 나와 있습니다 (그림 6).
당사의 연구 및 OSINT (오픈 소스 인텔리전스) 분석에 따르면 이러한 공격의 초기 벡터는 의도한 대상을 피싱 페이지로 안내하는 링크가 포함된 이메일입니다.심지어 다음과 같은 사실도 알게 되었습니다. 마이카드의 자문 및 지침 브랜드를 사칭하는 피싱 이메일에 주의할 것을 사용자에게 알립니다.
위협 행위자의 표적이 된 브랜드는 MICARD와 아메리칸 익스프레스였습니다.MICARD 피싱 페이지에는 다음과 같은 내용이 사용되었습니다. 지오펜싱 기법 일본 IP만 웹사이트에 접속할 수 있도록 허용합니다.아래에서 대상 브랜드와 관련된 이러한 피싱 페이지의 작동 방식을 자세히 설명합니다.
우리가 분석한 MICARD 페이지를 대상으로 하는 피싱 URL은 miicarrid [.] co [.] jp.sdsfsee [.] top입니다.일본 IP 주소로 이 웹 사이트를 방문하면 자격 증명을 요청하는 로그인 페이지가 표시됩니다 (그림 1).
자격 증명을 입력하면 피해자는 동일한 도메인에서 호스팅되는 다른 페이지 (https://miicarrid[.]co [) 로 리디렉션됩니다.[jp.sdsfsee [.] top/login.php.이 페이지에서는 사용자에게 MICARD 카드 번호와 계정 세부 정보를 입력하도록 요청합니다 (그림 2).
자격 증명을 입력하면 피해자는 합법적인 MICARD 웹 사이트인 micard.co.jp로 리디렉션되며, 이 웹 사이트에서는 피해자에게 인증을 위한 자격 증명을 입력하도록 다시 요청합니다.
피해자가 입력한 모든 자격 증명은 리디렉션 중에 URL 경로 "api.php? 에 기록됩니다.동일한 피싱 페이지의 p=1"입니다 (그림 3).
아메리칸 익스프레스에 대해 분석한 피싱 URL은 www1 [.] amerxcanexpress [.] tp.bhisjcn [.] jp입니다.일본 IP 주소로 이 웹 사이트를 방문하면 자격 증명을 요청하는 로그인 페이지가 표시됩니다.이 공격의 다음 단계에서는 MICARD 피싱 페이지에 사용된 것과 동일한 메커니즘을 통해 자격 증명을 게시합니다 (그림 4).
코드를 분석하는 동안 페이지가 “/admin/im/css/modules/laydate/default/laydate.css?” 경로에서 스타일 페이지 (laydate.css) 를 로드하려고 한다는 것을 알게 되었습니다.v=5.3.1".이 파일을 로드하는 데 실패했지만 “/admin” 경로에 무엇이 있는지 알아보기로 했습니다 (그림 5).
그런 다음 “/admin” 경로를 로드하고 가능한 제어판을 갖게 되었습니다!안타깝게도 분석 중에는 액세스할 수 없었습니다 (그림 6).이 공격자 패널은 우리가 중국 공격자로 판단한 패널입니다.위협 행위자는 로그인하여 제출된 자격 증명과 기타 정보를 볼 수 있습니다.
분석 과정에서 다음 네 가지 IP 주소에서 호스팅되는 대상 브랜드의 여러 피싱 도메인을 확인했습니다.
동일한 공격자가 동일한 공격 TTP를 재사용하여 피싱 페이지를 만들거나 대상 브랜드를 위한 피싱 키트를 사용하고 있을 수 있습니다.2022년 6월부터 IP 주소로 확인되는 도메인에서 클럽, jp, top의 세 가지 TLD를 사용했습니다.공격자 인프라에서 가장 많이 사용된 TLD는 “top”이었습니다 (그림 7).
우리 연구의 흥미로운 발견, 공통점 및 관찰 내용은 다음과 같습니다.
우리가 알아차린 또 다른 흥미로운 점은 www2 [.] shinseiclub [.] com.famerucarf1 [.] jp 도메인 중 하나가 분석 과정에서 몇 번 변경되었다는 것입니다 (그림 8).
처음에는 신세이 은행 회사인 APLUS에서 발급한 신용 카드의 온라인 서비스 로그인 페이지로 시작했지만 결국 아메리칸 익스프레스 사이트로 변했습니다 (그림 9).
수집한 정보와 TTP를 바탕으로 위협 행위자가 중국 출신이라는 확신을 갖고 평가합니다.위협 행위자는 MICARD 및 아메리칸 익스프레스와 함께 더 많은 표적 브랜드를 추가할 가능성이 높습니다.
Menlo Labs는 더 많은 피싱 사이트가 식별되고 차단됨에 따라 이 위협 행위자가 계속해서 새로운 인프라를 만들고 다른 브랜드를 사칭할 가능성이 높다고 평가합니다.Menlo Labs에서는 사용자가 이메일 링크 또는 첨부 파일을 통해 도착하는 웹 사이트에 자격 증명을 입력할 때 주의를 기울일 것을 권장합니다.예방 차원에서 2단계 또는 다단계 인증을 사용하면 자격 증명이 손상될 경우 보안을 한층 더 강화할 수 있습니다.
209.141.51.134
209.141.44.114
45.81.5.197
45.86.70.157
마이크로카드 [.] co [.] jp [.] sdsfsee [.] top
micarid [.] co [.] p [.] 프루이 [.] 탑
mirrid [.] co [.] jp [.] tuuiyy [.] top
mdinsd [.] co [.] jp [.] gnjkg [.] top
mirrid [.] co [.] jp [.] ghbdc [.] top
미니카드 [.] co [.] jp [.] dhssu [.] top
마이크로카드 [.] co [.] jp [.] dftto [.] top
sanyuicare [.] co [.] jp [.] dozerov [.] top
미미카드 [.] co [.] jp [.] 드램퍼 [.] 탑
miicard22 [.] co [.] jp [.] 도머 [.] 클럽
밀리어드 [.] co [.] jp [.] 다케너 [.] 클럽
ww2 [.] 미니카드 [.] co [.] jp [.] 바우론 [.] 클럽
ww2 [.] 미니카드 [.] co [.] jp [.] 브레드크 [.] 클럽
ww2 [.] 아메리카익스프레스 [.] com [.] cenmksl [.] 클럽
www [.] 아메리칸익스프레스 [.] com [.] acemoer [.] 클럽
www [.] 마이카드 [.] co [.] kp [.] 크메로브 [.] 클럽
www [.] xgyufanexpress [.] to [.] hjbwwj [.] jp
www [.] asetrxcanezres [.] to [.] cfdymtj [.] jp
www [.] xcerxcanExpress [.] to [.] ncjsnf [.] ip
www [.] amerxcanezres [.] to [.] txjzyzq [.] p
www1 [.] aenircanExpress [.] to [.] 부이다니 [.] jp
www [.] 아메리칸익스프레스 [.] to [.] emexecag [.] p
ww2 [.] amerxcanExpress [.] to [.] buycso [.] p
www [.] amerscanExpress [.] to [.] amescad [.] p
ww1 [.] amerxcanExpress [.] to [.] bhisjcn [.] jp
www2 [.] sinsebonk [.] com [.] bdsag [.] jp
www [.] sinsebonk [.] com [.] amercanmisecad [.] jp
yzkjc [.] co [.] jp [.] cfdymtj [.] top
eeqxcgh [.] co [.] ip [.] rdstna [.] top
yzkjc [.] co [.] jp [.] mthzsqk [.] top
ysrybx [.] co [.] jp [.] kjglhys [.] top
njswa [.] co [.] jp [.] sjdyr [.] top
kfqs [.] co [.] p [.] bszya [.] top
xflsbw [.] co [.] jp [.] gedaz [.] top
tjdry [.] co [.] p [.] gdzsd [.] top
kfqs [.] co [.] p [.] lqjgeat [.] top
bxkqxz [.] co [.] jp [.] ghfgb [.] top
www2 [.] 아메리칸 익스프레스 [.] jp [.] bdsjka [.] jp
www2 [.] 신세이클럽 [.] com [.] famerucarf1 [.] jp
ww1 [.] 아마리칸엑스페스 [.] jp [.] fmicard88 [.] top
www5 [.] 위비미카드 [.] co [.] jp [.] fmicard12 [.] top
www [.] 슈퍼 [.] 아메리칸익스프레스 [.] 탑
