ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
Menlo Labsの研究チームは最近、日本のMICARDおよびAmerican Expressのユーザーに対してフィッシング攻撃を行う悪質なインフラストラクチャについて分析を行いました。このインフラの背後にいる攻撃者は、新しいドメインやWebサイトを積極的に立ち上げており、それらは同じ攻撃の戦術、技術、手順 (TTP:Tactics, Techniques, and Procedures) を採用しています。私たちは、中程度の確信を持ってこの攻撃者が中国由来であると考えています。その詳細については後述します(図6)。
私たちの調査とOSINT(オープンソースインテリジェンス)分析によると、これらの攻撃の最初のステップは、狙った標的をフィッシングページに誘導するリンクが付いたメールであることがわかりました。また、MICARDの運営会社からは、自社ブランドを装ったフィッシングメールに注意するようにという勧告やガイダンスが出されていることも確認しています。
この脅威で狙われたブランドは、「MICARD」と「American Express」です。MICARDのフィッシングページは、ジオフェンシングの手法を用いて、日本国内のIPのみからWebサイトにアクセスできるようになっていました。これらのフィッシングページとターゲットとなったブランドとの関連について、以下に詳しく解説します。
今回分析したMICARDのページを狙ったフィッシングURLは、micarrid[.]co[.]jp.sdsfsee[.]top です。日本のIPアドレスからこのWebサイトにアクセスすると、認証情報を要求するログインページが表示されます(図1)。
認証情報を入力すると、被害者は同じドメインでホストされている別のページにリダイレクトされます: https://miicarrid[.]co[.]jp.sdsfsee[.]top/login.php このページでは、MICARDのカード番号と口座の詳細を入力するよう求められます(図2)。
認証情報を入力すると、MICARDの正規のWebサイト(micard.co.jp)にリダイレクトされ、再び認証情報を入力するよう求められます。
被害者が入力したすべての認証情報は、リダイレクトされる際に、同じフィッシングページのURLパス「api.php?p=1」に記録されます(図3)。
American ExpressのフィッシングURLは、www1[.]amerxcanexpress[.]tp.bhisjcn[.]jp です。日本のIPアドレスからこのWebサイトにアクセスすると、ユーザーには認証情報を要求するログインページが表示されます。この攻撃の次の段階では、MICARDのフィッシングページで使用されたのと同じメカニズムで認証情報が送信されます(図4)。
コードを分析する中で、このページが「/admin/im/css/modules/laydate/default/laydate.css?v=5.3.1」のパスからスタイルページ(laydate.css)をロードしようとしていることがわかりました。このファイルの読み込みに失敗するため、「/admin」のパスに何があるのかを確認することにしました(図5)。
「/admin」のパスを読み込むと、コントロールパネルのようなものが表示されました! しかし残念ながら、分析中にこれにアクセスすることはできませんでした(図6)。これは攻撃者用のパネルで、私たちは中国の攻撃者と考えています。この攻撃者はログインして、送信された認証情報およびおそらく他の情報を見ることができるはずです。
私たちの分析により、狙われているブランドのいくつかのフィッシングドメインが以下の4つのIPアドレスでホストされていることがわかりました:
同じ攻撃者が同じTTPを使用してフィッシングページを作成しているか、同じフィッシングキットを使用している可能性があります。2022年6月以降、このIPアドレスに解決されるドメインでは、club、jp、topの3つのTLDが使用されています。攻撃者側のインフラで最も使用されているTLDは「top」でした(図7)。
今回の調査における興味深い発見、共通点、観察事項がいくつかあります:
また、ドメインの1つである www2[.]shinseiclub[.]com.famerucarf1[.]jp の内容が分析中に2回ほど変更されたことも興味深い点です(図8)。
これは、最初は新生銀行傘下のアプラスが発行するクレジットカードのオンラインサービスのログインページでしたが、最終的にはAmerican Expressのサイトとして表示されました(図9)。
収集された情報とTTPに基づき、私たちは攻撃者が中国由来であることに中程度の確信を持っています。この攻撃者は、MICARDやAmerican Expressに加え、さらに標的となるブランドを追加する可能性があります。
Menlo Labsは、より多くのフィッシングサイトが特定されブロックされる中、この攻撃者は新しいインフラを作り続け、他のブランドへのなりすましを続ける可能性が高いと考えています。Menlo Labsは、ユーザーがメールのリンクや添付ファイル経由で届いたWebサイトで認証情報を入力する際には、慎重を期すことを推奨しています。防御策として、2要素認証や多要素認証を使用することで、認証情報が漏洩した場合にセキュリティの層を厚くすることができます。
209.141.51.134
209.141.44.114
45.81.5.197
45.86.70.157
miicarrid[.]co[.]jp[.]sdsfsee[.]top
miicarrid[.]co[.]jp[.]frruuy[.]top
mhuirrid[.]co[.]jp[.]tuuiyy[.]top
mdinsd[.]co[.]jp[.]gnjkg[.]top
mhuirrid[.]co[.]jp[.]ghbdc[.]top
miicarrid[.]co[.]jp[.]dhssu[.]top
miicarrid[.]co[.]jp[.]dfgtto[.]top
sanyuicare[.]co[.]jp[.]dozerov[.]top
mmiicard[.]co[.]jp[.]drampor[.]top
miicard22[.]co[.]jp[.]docmer[.]club
miioard[.]co[.]jp[.]dakejer[.]club
www2[.]miicard[.]co[.]jp[.]boweron[.]club
www2[.]miicard[.]co[.]jp[.]bredkmk[.]club
www2[.]americanexpres[.]com[.]cenmksl[.]club
www[.]ameriicanexprress[.]com[.]acemoer[.]club
www[.]micard[.]co[.]jp[.]cmerove[.]club
www[.]xgyufanexpres[.]tp[.]hjbwwj[.]jp
www[.]asetrxcanezxres[.]tp[.]cfdymtj[.]jp
www[.]xcerxcanexpres[.]tp[.]ncjsnf[.]jp
www[.]amerxcanezxres[.]tp[.]txjjzyzq[.]jp
www1[.]aenjrcanexpres[.]tp[.]bhuidanj[.]jp
www[.]amejrcanexpres[.]tp[.]emexecag[.]jp
www2[.]amerxcanexpres[.]tp[.]buycjso[.]jp
www[.]amerxcanexpres[.]tp[.]amesecad[.]jp
www1[.]amerxcanexpress[.]tp[.]bhisjcn[.]jp
www2[.]sinsebonk[.]com[.]bdsag[.]jp
www[.]sinsebonk[.]com[.]amercanmisecad[.]jp
yzkjc[.]co[.]jp[.]cfdymtj[.]top
eeqxcgh[.]co[.]jp[.]rdstna[.]top
yzkjc[.]co[.]jp[.]mthzsqk[.]top
ysrybx[.]co[.]jp[.]kjglhys[.]top
njswa[.]co[.]jp[.]sjdyr[.]top
kfqs[.]co[.]jp[.]bszya[.]top
xflsbw[.]co[.]jp[.]gedaz[.]top
tjjdry[.]co[.]jp[.]gdzsd[.]top
kfqs[.]co[.]jp[.]lqjgeqt[.]top
bxkqxz[.]co[.]jp[.]ghfgb[.]top
www2[.]americanexpress[.]jp[.]bdsjka[.]jp
www2[.]shinseiclub[.]com[.]famerucarf1[.]jp
www1[.]amaricanexpes[.]jp[.]fmicard88[.]top
www5[.]wibmiicard[.]co[.]jp[.]fmicard12[.]top
www[.]supper[.]ameriicanexpres[.]top
