韓国の Naver が狙われている:大規模なフィッシングを仕掛けるのは TrickBot か?

Massive phishing campaign uses 500+ domains to steal credentials

2022/03/15 BleepingComputer — Google ライクな、韓国のオンラインプ・ラットフォーム Naver の認証情報を盗むために、数百のドメインを用いる大規模なフィッシング活動は、TrickBot ボットネットに関連するインフラとの重複を示している。この攻撃に使用されたリソースは、さまざまな攻撃に使用するためにログイン・データを収集する、サイバー犯罪者の取り組みの規模が大きいことを示している。Google と同様に、Naver は Web 検索から、電子メールや、ニュース、オンライン Q&A である Naver Knowledge iN に至るまで、多様なサービスを提供している。

大規模なインフラ

通常のユーザー・アカウントへのアクセスだけでなく、パスワードの再利用により、企業環境へもアクセスすることが可能である。今年のはじめに、サイバー・インテリジェンス企業 Prevailion のセキュリティ研究者たちは、Naver ユーザー認証情報の収集に焦点を当てた、大規模なフィッシング作戦を実施されていると特定した。

彼らは Joe Słowik が共有する mailmangecorp[.]us という、1つのドメイン名から調査を開始し、Naver の有効なログイン情報を採取するために設計された、標的型フィッシング・インフラの広大なネットワークへの扉を開いた。

今日、Prevailion はレポートの中で「PACT のアナリストは、Naver をテーマにしたフィッシング・ページの提供に使用されるホスティング・インフラを調査する中で、WIZARD SPIDER (別名 TrickBot) のインフラとの重複を確認しました」と述べている。

最近になって、TrickBot の経営陣が入れ替わり、旧パートナーであるランサムウェア・シンジケート Conti が指揮を執るようになったと考えられている。

研究者たちは、この作戦と 542 のユニークなドメインを関連付け、そのうちの 532 が Naver をテーマにしたフィッシングに使用されていることを確認した。また、研究者たちは、運営者が電子メールアドレスを使用して、単一の IP アドレスに解決するドメイン名のセットを登録していることに気づいた。

Domains clusters used for massive Naver phishing operation
source: Prevailion


脅威アクターは、複数のアドレスを利用して、Naver キャンペーン用の登録者ペルソナを作成していた。一部のドメインは、2月の時点で登録されており、最も古いものは 2021年8月のものである。

Prevailion の研究者たちは、上の図における IP アドレスに解決するドメインが、潜在的な被害者を Hostinger でホストされている、Naver プラットフォームの偽ログインページに連れて行く、リダイレクト・スキーム (HTTP/302) の一部であることを発見した。

Naver phishing page
source: Prevailion


この IP アドレスは、Naver クレデンシャル・フィッシングと、TrickBot に関連するインフラとのイニシャル接続を確立する上で、重要であることが証明された。研究者たちによると、Virus Total に掲載された Cobalt Strike ビーコンのサンプルのいくつかは、CVE-2021-40444 を悪用して、TrickBot の共通ペイロードである Conti ランサムウェアを配信するキャンペーンの一部として、23.81.246[.] 131 に関連付けられた。

本日のレポートでは、RiskIQ と Microsoft の公開研究で明らかになった、Naver のフィッシング・ドメインと TrickBot のインフラをつなぐ追加指標が提供されている。
研究者たちによると、今回の調査結果は、このインフラが依然として使用されており、今月にも数多くのドメインが登録されたことから、Naver のフィッシング活動が継続していることが示唆される。

Prevailion は、「このインフラは、個別のキャンペーンをサポートしているように見える。TrickBot インフラとの重複はあるが、ホスティングと DNS 解決に限られている。最初に発見された Naver をテーマにしたフィッシング活動は、ランサムウェア・グループの直接的な仕業とは思えない」と述べている。

しかし、これらのファイル暗号化攻撃の前には、貴重なターゲットのネットワークへのアクセスを求めるパートナーやアフィリエイトが、フィッシングや認証情報窃盗のキャンペーンが実施することも多い。Prevailion は、この調査結果を説明する一つの仮説として、サイバー犯罪者が Infrastructure-as-a-Service 型のサービスを利用していることを挙げている。

TrickBot と Conti に関しては、2022年2月18日の「Conti が TrickBot を買収:高ステルス性のマルウェア BazarBackdor へと移行か?」に詳しい説明があります。また、文中で指摘されている静寂性 CVE-2021-40444 については、2021年12月23日の「Microsoft Office の脆弱性 CVE-2021-40444:パッチ回避とマルウェア投下」などの記事があります。よろしければ、TrickBot で検索および、CVE-2021-40444 で検索も、ご利用ください。

%d bloggers like this: