2018年夏ごろから、佐川急便を騙ったSMS(ショートメッセージサービス)を送りつけ、偽アプリのインストールに誘導させる攻撃が急増しました。
佐川急便も、具体的な例と共に注意喚起を行なっています。
佐川急便Webサイト上でのお知らせ
http://www2.sagawa-exp.co.jp/whatsnew/detail/721/
脅威インテリジェンスの専門ベンダーThreatSTOP社リサーチチームが調査を行い、佐川急便のフィッシングメールを含むこの攻撃キャンペーンに関連するとみられる120以上のドメインを発見しました。
オリジナルの記事はThreatSTOP社Ofir Ashmanが書いたもので、本記事はその日本語訳です。オリジナルの記事(英語)は以下のURLからご覧いただけます。
https://blog.threatstop.com/over-120-malicious-domains-discovered-in-analysis-on-new-roaming-mantis-campaign
Androidを狙うSagawa APK
2018年4月以来、クリプトマイニングを行なうマルウェア、いわゆるRoaming Mantisがセキュリティ業界で話題をさらっています。Roaming MantisはDNSハイジャック攻撃手法と共に登場し、Android OSで動く機器を感染させます。一度インストールすると、マルウェアが感染した機器を、正規のアプリケーションを装ってフィッシングサイトへと誘導します。そして、同時に奪った認証情報を利用してクリプトマイニングスクリプトをPC上で走らせます。
最近では、カスペルスキー社のSecurelist調査チームが、Android OSで動く機器を狙った新たなRoaming Mantisを公表しました。この攻撃は、1通のSMSから始まります。SMSの中には、URLが含まれており、それをクリックするとWebサイトへ誘導され、そこで佐川急便を騙る悪意を持ったアプリケーションSagawa APKをダウンロードさせられてしまいます。
ThreatSTOPのリサーチチームがこの攻撃キャンペーンに関するIoC(攻撃の痕跡 Indicator of Compromise)を調査する中で、攻撃に使われたドメインとおそらく脅威だと考えられる大量のドメインとを繋ぐ構造パターンがあることに気づきました。
Securelistから、Roaming Mantisに利用されているとして2つのドメインが発表されています。そのうちの一つ、sagawa-otqwt[.]comは未だに有効であり、IP 1[.]175[.]177[.]66にホストされていることがわかりました。ThreatSTOPはIPの履歴を調査し、そのIPが同じようなドメインsagawa-fssdf[.]comもホストしていたことを突き止めました。
更に調査を進めると、このドメインが、2つの61[.]230[.]47[.]54 と 61[.]228[.]216[.]44IPにホストされていたことも発見しました。このIPは、その他にもたくさんの”sagawa”ドメインをホストしています。全てのドメインが、”sagawa-”から始まり、3~5つの文字をつけ、.comのTLD(トップレベルドメイン)で終っています。
同様に、2つのIPアドレスに紐づくドメインを更に調べていくことで、ThreatSTOPは更に多くの”sagawa”ドメインを発見することが出来ました。
この調査によって、Sagawa APKに関する、もしくはRoaming Mantis全体にも関係するかもしれない120以上の新たなIoCを発見することが出来ました。
ThreatSTOPはユーザーをSagawa APK、Roaming Mantisから守るために、調査を継続していきます。
脅威インテリジェンスの専門ベンダー ThreatSTOP
ThreatSTOP社は脅威インテリジェンスの専門ベンダーです。
米軍やイスラエル軍の出身者が多く、独自のルートを使用してインテリジェンスを収集、精査し、ファイアウォール、DNSへ最短15分間隔で配信し、攻撃の種類を問わず、既知の攻撃者との通信の可視化・ブロックを実現しています。
この他にもThreatSTOPはリサーチャーによる様々な調査結果を発表しています。
あわせてご覧ください。
★クリプトジャックの歴史と対抗策
https://products.nvc.co.jp/blog/cryptojacks-threat-intelligence.html
★ヘルスケア業界を狙う攻撃者グループ
https://products.nvc.co.jp/blog/attacking-healthcare-industry-by-orangeworm.html
