핵심 요약
Menlo Labs 연구팀은 최근 일본 MICARD와 아메리칸 익스프레스 사용자를 대상으로 피싱 공격을 수행하는 악성 인프라를 분석했습니다.이 인프라의 배후에 있는 위협 행위자는 동일한 공격 전술, 기법 및 절차 (TTP) 를 사용하여 새로운 도메인과 웹 사이트를 적극적으로 공격하고 있습니다.위협 행위자가 중국 출신이라는 확신을 갖고 평가합니다. 자세한 내용은 기사 뒷부분에 나와 있습니다 (그림 6).
감염 벡터
당사의 연구 및 OSINT (오픈 소스 인텔리전스) 분석에 따르면 이러한 공격의 초기 벡터는 의도한 대상을 피싱 페이지로 안내하는 링크가 포함된 이메일입니다.심지어 다음과 같은 사실도 알게 되었습니다. 마이카드의 자문 및 지침 브랜드를 사칭하는 피싱 이메일에 주의할 것을 사용자에게 알립니다.
피싱 페이지 및 타겟 브랜드
위협 행위자의 표적이 된 브랜드는 MICARD와 아메리칸 익스프레스였습니다.MICARD 피싱 페이지에는 다음과 같은 내용이 사용되었습니다. 지오펜싱 기법 일본 IP만 웹사이트에 접속할 수 있도록 허용합니다.아래에서 대상 브랜드와 관련된 이러한 피싱 페이지의 작동 방식을 자세히 설명합니다.
마이카드 피싱 페이지
우리가 분석한 MICARD 페이지를 대상으로 하는 피싱 URL은 miicarrid [.] co [.] jp.sdsfsee [.] top입니다.일본 IP 주소로 이 웹 사이트를 방문하면 자격 증명을 요청하는 로그인 페이지가 표시됩니다 (그림 1).
![MICARD phishing page](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/65771f39786d18d93af25720_micard-phishing-page.png)
자격 증명을 입력하면 피해자는 동일한 도메인에서 호스팅되는 다른 페이지 (https://miicarrid[.]co [) 로 리디렉션됩니다.[jp.sdsfsee [.] top/login.php.이 페이지에서는 사용자에게 MICARD 카드 번호와 계정 세부 정보를 입력하도록 요청합니다 (그림 2).
![Screenshot of page showing MICARD card number and account details](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/65771f4e24f02b4df291853a_micard-card-number-acct-details.png)
자격 증명을 입력하면 피해자는 합법적인 MICARD 웹 사이트인 micard.co.jp로 리디렉션되며, 이 웹 사이트에서는 피해자에게 인증을 위한 자격 증명을 입력하도록 다시 요청합니다.
피해자가 입력한 모든 자격 증명은 리디렉션 중에 URL 경로 "api.php? 에 기록됩니다.동일한 피싱 페이지의 p=1"입니다 (그림 3).
![Data showing victim’s MICARD details](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/65771f6c8b96a0d8b0b463d8_victim-micard-details.png)
여기서 사용된 자격 증명은 유효하지 않으며 피싱 페이지의 활동을 입증하는 용도로만 사용됩니다.
아메리칸 익스프레스 피싱 페이지
아메리칸 익스프레스에 대해 분석한 피싱 URL은 www1 [.] amerxcanexpress [.] tp.bhisjcn [.] jp입니다.일본 IP 주소로 이 웹 사이트를 방문하면 자격 증명을 요청하는 로그인 페이지가 표시됩니다.이 공격의 다음 단계에서는 MICARD 피싱 페이지에 사용된 것과 동일한 메커니즘을 통해 자격 증명을 게시합니다 (그림 4).
![Screenshot of American Express phishing page](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/65771fa6750d14a47cf75e25_jp-american-express-screenshot.png)
코드를 분석하는 동안 페이지가 “/admin/im/css/modules/laydate/default/laydate.css?” 경로에서 스타일 페이지 (laydate.css) 를 로드하려고 한다는 것을 알게 되었습니다.v=5.3.1".이 파일을 로드하는 데 실패했지만 “/admin” 경로에 무엇이 있는지 알아보기로 했습니다 (그림 5).
![Screenshot of American Express phishing admin page](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/65771ffd2978845fb2fc9231_American-express-phish-admin.png)
그런 다음 “/admin” 경로를 로드하고 가능한 제어판을 갖게 되었습니다!안타깝게도 분석 중에는 액세스할 수 없었습니다 (그림 6).이 공격자 패널은 우리가 중국 공격자로 판단한 패널입니다.위협 행위자는 로그인하여 제출된 자격 증명과 기타 정보를 볼 수 있습니다.
![Screenshot of American Express phishing admin panel](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/657720166c5a65bf2d3e6585_american-express-phish-admin-panel.png)
공격자 인프라 및 OSINT
분석 과정에서 다음 네 가지 IP 주소에서 호스팅되는 대상 브랜드의 여러 피싱 도메인을 확인했습니다.
- 209.141.51.134
- 209.141.44.114
- 45.81.5.197
- 45.86.70.157
동일한 공격자가 동일한 공격 TTP를 재사용하여 피싱 페이지를 만들거나 대상 브랜드를 위한 피싱 키트를 사용하고 있을 수 있습니다.2022년 6월부터 IP 주소로 확인되는 도메인에서 클럽, jp, top의 세 가지 TLD를 사용했습니다.공격자 인프라에서 가장 많이 사용된 TLD는 “top”이었습니다 (그림 7).
![Chart showing TLDs used by attack, with 52.4% being .top, 31% being .jp, and 16.7% being .club](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/6577202ce6fcaa634956a2ec_jp-phish-tld-graph.png)
우리 연구의 흥미로운 발견, 공통점 및 관찰 내용은 다음과 같습니다.
- 공격자 인프라는 4개의 IP 주소에서 호스팅되었습니다.
- 피싱 브랜드에 사용된 거의 모든 도메인이 등록 기관인 Namesilo LLC에 할당되었습니다.
- 거의 모든 도메인은 비영리 인터넷 보안 연구 그룹 (ISRG) 이 제공하는 자동화된 공개 인증 기관을 무료로 제공하는 LetsEncrypt의 SSL 서버 인증서로 구동되었습니다.
- 도메인 이름은 달랐지만 URL 경로 이름은 동일했습니다.
우리가 알아차린 또 다른 흥미로운 점은 www2 [.] shinseiclub [.] com.famerucarf1 [.] jp 도메인 중 하나가 분석 과정에서 몇 번 변경되었다는 것입니다 (그림 8).
![Screenshots of the same phishing page at different points in time](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/65772048dc78a33091a5140f_jp-phishing-site-changes.png)
처음에는 신세이 은행 회사인 APLUS에서 발급한 신용 카드의 온라인 서비스 로그인 페이지로 시작했지만 결국 아메리칸 익스프레스 사이트로 변했습니다 (그림 9).
![Screenshot of phishing page for APLUS](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/657720598e930e3ce7fd92cd_aplus-phishing-page.png)
결론
수집한 정보와 TTP를 바탕으로 위협 행위자가 중국 출신이라는 확신을 갖고 평가합니다.위협 행위자는 MICARD 및 아메리칸 익스프레스와 함께 더 많은 표적 브랜드를 추가할 가능성이 높습니다.
Menlo Labs는 더 많은 피싱 사이트가 식별되고 차단됨에 따라 이 위협 행위자가 계속해서 새로운 인프라를 만들고 다른 브랜드를 사칭할 가능성이 높다고 평가합니다.Menlo Labs에서는 사용자가 이메일 링크 또는 첨부 파일을 통해 도착하는 웹 사이트에 자격 증명을 입력할 때 주의를 기울일 것을 권장합니다.예방 차원에서 2단계 또는 다단계 인증을 사용하면 자격 증명이 손상될 경우 보안을 한층 더 강화할 수 있습니다.
IOC
IP:
209.141.51.134
209.141.44.114
45.81.5.197
45.86.70.157
도메인:
마이크로카드 [.] co [.] jp [.] sdsfsee [.] top
micarid [.] co [.] p [.] 프루이 [.] 탑
mirrid [.] co [.] jp [.] tuuiyy [.] top
mdinsd [.] co [.] jp [.] gnjkg [.] top
mirrid [.] co [.] jp [.] ghbdc [.] top
미니카드 [.] co [.] jp [.] dhssu [.] top
마이크로카드 [.] co [.] jp [.] dftto [.] top
sanyuicare [.] co [.] jp [.] dozerov [.] top
미미카드 [.] co [.] jp [.] 드램퍼 [.] 탑
miicard22 [.] co [.] jp [.] 도머 [.] 클럽
밀리어드 [.] co [.] jp [.] 다케너 [.] 클럽
ww2 [.] 미니카드 [.] co [.] jp [.] 바우론 [.] 클럽
ww2 [.] 미니카드 [.] co [.] jp [.] 브레드크 [.] 클럽
ww2 [.] 아메리카익스프레스 [.] com [.] cenmksl [.] 클럽
www [.] 아메리칸익스프레스 [.] com [.] acemoer [.] 클럽
www [.] 마이카드 [.] co [.] kp [.] 크메로브 [.] 클럽
www [.] xgyufanexpress [.] to [.] hjbwwj [.] jp
www [.] asetrxcanezres [.] to [.] cfdymtj [.] jp
www [.] xcerxcanExpress [.] to [.] ncjsnf [.] ip
www [.] amerxcanezres [.] to [.] txjzyzq [.] p
www1 [.] aenircanExpress [.] to [.] 부이다니 [.] jp
www [.] 아메리칸익스프레스 [.] to [.] emexecag [.] p
ww2 [.] amerxcanExpress [.] to [.] buycso [.] p
www [.] amerscanExpress [.] to [.] amescad [.] p
ww1 [.] amerxcanExpress [.] to [.] bhisjcn [.] jp
www2 [.] sinsebonk [.] com [.] bdsag [.] jp
www [.] sinsebonk [.] com [.] amercanmisecad [.] jp
yzkjc [.] co [.] jp [.] cfdymtj [.] top
eeqxcgh [.] co [.] ip [.] rdstna [.] top
yzkjc [.] co [.] jp [.] mthzsqk [.] top
ysrybx [.] co [.] jp [.] kjglhys [.] top
njswa [.] co [.] jp [.] sjdyr [.] top
kfqs [.] co [.] p [.] bszya [.] top
xflsbw [.] co [.] jp [.] gedaz [.] top
tjdry [.] co [.] p [.] gdzsd [.] top
kfqs [.] co [.] p [.] lqjgeat [.] top
bxkqxz [.] co [.] jp [.] ghfgb [.] top
www2 [.] 아메리칸 익스프레스 [.] jp [.] bdsjka [.] jp
www2 [.] 신세이클럽 [.] com [.] famerucarf1 [.] jp
ww1 [.] 아마리칸엑스페스 [.] jp [.] fmicard88 [.] top
www5 [.] 위비미카드 [.] co [.] jp [.] fmicard12 [.] top
www [.] 슈퍼 [.] 아메리칸익스프레스 [.] 탑