ASEC 分析チームでは、韓国国内だけでなく海外で拡散している様々なマルウェアを収集するためにハニーポットを構築している。このハニーポットはフィッシングメールも収集しているが、今年8月から韓国のアカウントにのみ持続的に拡散している、韓国のターゲット型フィッシングメールを捕捉した。
このフィッシングサイトは韓国国内のグループウェアのログインサイトに偽装したもので、韓国国内において2500件以上、当該サイトにアクセスした履歴が確認されている。したがって、ユーザーはグループウェアサイトにログインする時は特に注意が必要である。
このフィッシングサイトはメールを通じて拡散しているだけでなく、Google 検索エンジンの上位検索結果にも表示され、不注意によってユーザーアカウントが容易に流出する危険がある。
最近まで出回っていたフィッシングメールは、主に「パスワードの期限切れ」や「アカウントの無効化」などの内容で配布されている。
フィッシングサイトにアクセスすると、見た目だけでは正常なサイトと区別することが難しく、スクリプトも正常なサイトと類似している。不正なサイトの場合、スクリプト下段の javascript の中身を展開してみるとスクリプトが変更されていることが確認できる。
今年、このグループウェアに偽装したフィッシングサイトは計5つが確認されており、まだ確認されていないアドレスが他にも存在するものと見られる。
| フィッシング URL – hxxps://5imk2-hiaaa-aaaad-qdtoa-cai.ic.fleek[.]co/?#(メールアカウント) – hxxps://55l3x-gaaaa-aaaad-qdtnq-cai.ic.fleek[.]co/?#(メールアカウント) – hxxps://5tjw7-5qaaa-aaaad-qdtmq-cai.ic.fleek[.]co/?#(メールアカウント) – hxxps://siasky[.]net/OACzNPwRNbE5E1QBOVNanLc5pfd4RiKlb0JwLvQvHK3Elg?#(メールアカウント) – hxxps://gfyyyryrye.steep-rice-1b7d.izulink0047002.workers[.]dev/ アカウント流出 URL – hxxps://dev-onaebe-all.pantheonsite[.]io/wp-content/cp.php |
|---|
上記フィッシングサイトのうち、アクセス数が最も多い TOP 3 を挙げると以下の通りとなる。参考に、2000件を超えるサイトは今年初めから拡散が始まっており、100件を超える URL はすべて8月から拡散しているサイトである。
ユーザーは、電子メールに含まれたリンクをクリックするときは必ずアドレスを確認し、不明なメールに添付されたファイルを開かないようにしなければならない。また、アカウント情報を要求してくる場合はもう一度アドレスを確認し、自身がログインしようとしている対象サイトで合っているかを確認しなければならない。
[ IOC 情報]
hxxps://5imk2-hiaaa-aaaad-qdtoa-cai.ic.fleek[.]co/?
hxxps://55l3x-gaaaa-aaaad-qdtnq-cai.ic.fleek[.]co/?
hxxps://5tjw7-5qaaa-aaaad-qdtmq-cai.ic.fleek[.]co/?
hxxps://siasky[.]net/OACzNPwRNbE5E1QBOVNanLc5pfd4RiKlb0JwLvQvHK3Elg?
hxxps://gfyyyryrye.steep-rice-1b7d.izulink0047002.workers[.]dev/
hxxps://dev-onaebe-all.pantheonsite[.]io/wp-content/cp.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報