日本郵政グループCISO様によるユーザー講演をオンデマンドで配信中!
Most Searched
従来のセキュリティアプローチには抜け道があり、コストが高く、セキュリティ チームにとって負担が大きいものでした。しかしメンロ・セキュリティは違いま す。最もシンプルかつ信頼のおける方法で業務を守り、オンラインの脅威からユー ザーやビジネスを分離します。
我々のプラットフォームは目に見えませんがオンラインユーザーがどこにいても保護しています。脅威は過去のものになり、アラートの嵐は過ぎ去りました。
データシート
従来のネットワークセキュリティは現在の複雑な環境を想定していません。SASEでこの問題を解決。
ソリューション概要
Menlo Labs は、脅威インサイト、専門知識、コンテキスト、およびツールを提供して、顧客が妥協することなく安全に接続、通信、コラボレーションするためのプロセスを支援します。 このチームは、既知の脅威と未知の脅威にスポットライトを当てる専門的なセキュリティ研究者で構成されています。
購入ガイド
Menlo Labs は、知見、専門知識、コンテキスト、およびツールを提供して、お客様が妥協することなく安全に接続、通信、コラボレーションするためのプロセスを支援します。
Menlo Security | 7月 26, 2022
Share this article
Menlo Labsの研究チームは最近、日本のMICARDおよびAmerican Expressのユーザーに対してフィッシング攻撃を行う悪質なインフラストラクチャについて分析を行いました。このインフラの背後にいる攻撃者は、新しいドメインやWebサイトを積極的に立ち上げており、それらは同じ攻撃の戦術、技術、手順 (TTP:Tactics, Techniques, and Procedures) を採用しています。私たちは、中程度の確信を持ってこの攻撃者が中国由来であると考えています。その詳細については後述します(図6)。
私たちの調査とOSINT(オープンソースインテリジェンス)分析によると、これらの攻撃の最初のステップは、狙った標的をフィッシングページに誘導するリンクが付いたメールであることがわかりました。また、MICARDの運営会社からは、自社ブランドを装ったフィッシングメールに注意するようにという勧告やガイダンスが出されていることも確認しています。
この脅威で狙われたブランドは、「MICARD」と「American Express」です。MICARDのフィッシングページは、ジオフェンシングの手法を用いて、日本国内のIPのみからWebサイトにアクセスできるようになっていました。これらのフィッシングページとターゲットとなったブランドとの関連について、以下に詳しく解説します。
今回分析したMICARDのページを狙ったフィッシングURLは、micarrid[.]co[.]jp.sdsfsee[.]top です。日本のIPアドレスからこのWebサイトにアクセスすると、認証情報を要求するログインページが表示されます(図1)。
認証情報を入力すると、被害者は同じドメインでホストされている別のページにリダイレクトされます: https://miicarrid[.]co[.]jp.sdsfsee[.]top/login.php このページでは、MICARDのカード番号と口座の詳細を入力するよう求められます(図2)。
認証情報を入力すると、MICARDの正規のWebサイト(micard.co.jp)にリダイレクトされ、再び認証情報を入力するよう求められます。
被害者が入力したすべての認証情報は、リダイレクトされる際に、同じフィッシングページのURLパス「api.php?p=1」に記録されます(図3)。
American ExpressのフィッシングURLは、www1[.]amerxcanexpress[.]tp.bhisjcn[.]jp です。日本のIPアドレスからこのWebサイトにアクセスすると、ユーザーには認証情報を要求するログインページが表示されます。この攻撃の次の段階では、MICARDのフィッシングページで使用されたのと同じメカニズムで認証情報が送信されます(図4)。
コードを分析する中で、このページが「/admin/im/css/modules/laydate/default/laydate.css?v=5.3.1」のパスからスタイルページ(laydate.css)をロードしようとしていることがわかりました。このファイルの読み込みに失敗するため、「/admin」のパスに何があるのかを確認することにしました(図5)。
「/admin」のパスを読み込むと、コントロールパネルのようなものが表示されました! しかし残念ながら、分析中にこれにアクセスすることはできませんでした(図6)。これは攻撃者用のパネルで、私たちは中国の攻撃者と考えています。この攻撃者はログインして、送信された認証情報およびおそらく他の情報を見ることができるはずです。
私たちの分析により、狙われているブランドのいくつかのフィッシングドメインが以下の4つのIPアドレスでホストされていることがわかりました:
同じ攻撃者が同じTTPを使用してフィッシングページを作成しているか、同じフィッシングキットを使用している可能性があります。2022年6月以降、このIPアドレスに解決されるドメインでは、club、jp、topの3つのTLDが使用されています。攻撃者側のインフラで最も使用されているTLDは「top」でした(図7)。
今回の調査における興味深い発見、共通点、観察事項がいくつかあります:
また、ドメインの1つである www2[.]shinseiclub[.]com.famerucarf1[.]jp の内容が分析中に2回ほど変更されたことも興味深い点です(図8)。
これは、最初は新生銀行傘下のアプラスが発行するクレジットカードのオンラインサービスのログインページでしたが、最終的にはAmerican Expressのサイトとして表示されました(図9)。
収集された情報とTTPに基づき、私たちは攻撃者が中国由来であることに中程度の確信を持っています。この攻撃者は、MICARDやAmerican Expressに加え、さらに標的となるブランドを追加する可能性があります。Menlo Labsは、より多くのフィッシングサイトが特定されブロックされる中、この攻撃者は新しいインフラを作り続け、他のブランドへのなりすましを続ける可能性が高いと考えています。Menlo Labsは、ユーザーがメールのリンクや添付ファイル経由で届いたWebサイトで認証情報を入力する際には、慎重を期すことを推奨しています。防御策として、2要素認証や多要素認証を使用することで、認証情報が漏洩した場合にセキュリティの層を厚くすることができます。
209.141.51.134209.141.44.11445.81.5.19745.86.70.157
miicarrid[.]co[.]jp[.]sdsfsee[.]topmiicarrid[.]co[.]jp[.]frruuy[.]topmhuirrid[.]co[.]jp[.]tuuiyy[.]topmdinsd[.]co[.]jp[.]gnjkg[.]topmhuirrid[.]co[.]jp[.]ghbdc[.]topmiicarrid[.]co[.]jp[.]dhssu[.]topmiicarrid[.]co[.]jp[.]dfgtto[.]topsanyuicare[.]co[.]jp[.]dozerov[.]topmmiicard[.]co[.]jp[.]drampor[.]topmiicard22[.]co[.]jp[.]docmer[.]clubmiioard[.]co[.]jp[.]dakejer[.]clubwww2[.]miicard[.]co[.]jp[.]boweron[.]clubwww2[.]miicard[.]co[.]jp[.]bredkmk[.]clubwww2[.]americanexpres[.]com[.]cenmksl[.]clubwww[.]ameriicanexprress[.]com[.]acemoer[.]clubwww[.]micard[.]co[.]jp[.]cmerove[.]clubwww[.]xgyufanexpres[.]tp[.]hjbwwj[.]jpwww[.]asetrxcanezxres[.]tp[.]cfdymtj[.]jpwww[.]xcerxcanexpres[.]tp[.]ncjsnf[.]jpwww[.]amerxcanezxres[.]tp[.]txjjzyzq[.]jpwww1[.]aenjrcanexpres[.]tp[.]bhuidanj[.]jpwww[.]amejrcanexpres[.]tp[.]emexecag[.]jpwww2[.]amerxcanexpres[.]tp[.]buycjso[.]jpwww[.]amerxcanexpres[.]tp[.]amesecad[.]jpwww1[.]amerxcanexpress[.]tp[.]bhisjcn[.]jpwww2[.]sinsebonk[.]com[.]bdsag[.]jpwww[.]sinsebonk[.]com[.]amercanmisecad[.]jpyzkjc[.]co[.]jp[.]cfdymtj[.]topeeqxcgh[.]co[.]jp[.]rdstna[.]topyzkjc[.]co[.]jp[.]mthzsqk[.]topysrybx[.]co[.]jp[.]kjglhys[.]topnjswa[.]co[.]jp[.]sjdyr[.]topkfqs[.]co[.]jp[.]bszya[.]topxflsbw[.]co[.]jp[.]gedaz[.]toptjjdry[.]co[.]jp[.]gdzsd[.]topkfqs[.]co[.]jp[.]lqjgeqt[.]topbxkqxz[.]co[.]jp[.]ghfgb[.]topwww2[.]americanexpress[.]jp[.]bdsjka[.]jpwww2[.]shinseiclub[.]com[.]famerucarf1[.]jpwww1[.]amaricanexpes[.]jp[.]fmicard88[.]topwww5[.]wibmiicard[.]co[.]jp[.]fmicard12[.]topwww[.]supper[.]ameriicanexpres[.]top
Posted by Menlo Security on 7月 26, 2022
Tagged with Menlo Labs
Threat Trends & Research
Menlo Securityの製品やソリューションなどに関するお問い合わせをご希望の場合は、フォームにご入力いただき、送信してください。 また、ご意見・ご要望などがございましたら、お気軽にお問い合わせください。
