ASEC 分析チームは最近、金融関連の正常な Web サイトをターゲットとした不正なドメインが多数生成されている状況を確認した。
11月の初めから以下のような NAVER カスタマーセンターを偽装したフィッシングメールの拡散が多く確認され、これらを通してメールに含まれた不正な URL をモニタリングしていた。
送信者の Username は「Naver センター」であり、内容は連絡先変更のお知らせ / 新たなワンタイムパスワード生成のお知らせ / 他地域からのログインのお知らせ / メールボックス容量超過のお知らせ / 接続試行ブロックのお知らせなど、一般のユーザーをだますための、様々な内容が確認された。
上記の添付画像では、「携帯電話番号を確認する」リンクをクリックすると、NAVER ログイン画面に偽装したページを確認することができ、このページに個人情報を入力すると、攻撃者の意図したページにアカウントデータが流出する一般的なフィッシング攻撃であることが確認された。
ここで確認された特徴として、最上位ドメインに n-e.kr を使用していることがあげられる。しかし当社では、以前から Kimsuky 組織がこのドメインと類似したフォーマットのドメインを C2 に活用してきたという状況を把握していた。
[KIMSUKY 関連の攻撃によく使用される最上位ドメインリスト]
- n-e.kr
- p-e.kr
- r-e.kr
- o-r.kr
- kro.kr など多数あり
まず、攻撃に使用されたフィッシングドメインが Resolving される IP を確認し、これに関連した同じ IP と接続されたドメインが以下のように多く存在していることが分かった。(2022/12/14基準で、以下のリストのうち一部のドメインのみがライブ状態であることが確認された)
# Resolving IP : 210.16.120[.]212 [Singapore]
- conf.simpleedit.n-e[.]kr
- foward.viewpropile.p-e[.]kr
- dashboard.quikveoriy.o-r[.]kr
- www1.quickedit.o-r[.]kr
- www2.configment.p-e[.]kr
- wvw3.secure-edit.n-e[.]kr
- wwv3.supports.o-r[.]kr
- wvw1.user2list.kro[.]kr その他多数
共通した最上位ドメインを探すと、上述した n-e.kr / p-e.kr / o-r.kr / kro.kr などのドメインが存在する。
最上位ドメインは同じ2つの IP で Resolving されているが、当社のインフラを通して収集した関連ドメインの一部は以下の通りである。
以下のドメイン以外にも非常に多くの不正なドメインが存在する。
# Resolving IP : 139.99.89[.]153 [Singapore] / 172.104.112[.]214 [Japan]
現在もライブ状態のドメインも一部存在し、特定のページでは不正な APK ファイルがダウンロードされることが確認された。
| IP | 国 | 不正なドメイン | ターゲット(推定) | 接続可否 (22/12/14 基準) |
備考 |
| 139.99.89[.]153 | Singapore | shinhanbank.kro[.]kr | 新韓銀行 | X | |
| smartshinhan.kro[.]kr | O | 不正な APK ダウンロード | |||
| tos.p-e[.]kr | toss | X | |||
| kbank.o-r[.]kr | Kbank | O | 不正な APK ダウンロード | ||
| k-bank1.kro[.]kr | X | ||||
| kamco.kbloan.r-e[.]kr | KAMCO (韓国財産管理公社) | O | 不正な APK ダウンロード | ||
| kakaosaving.kro[.]kr | KakaoBank | O | 不正な APK ダウンロード |
| 172.104.112[.]214 | Japan | naver.o-r[.]kr | NAVER | O | NAVER メインページに偽装 |
| naver.kro[.]kr | X | ||||
| naver65.n-e[.]kr | X | ||||
| digital.pepperbank.kro[.]kr | pepper 貯蓄銀行 | O | 不正な APK ダウンロード | ||
| inglife.kro[.]kr | ORANGELIFE (旧: ING 生命) | O | |||
| nhlife.kro[.]kr | NH 生命 | O | |||
| kamco.kbloan.kro[.]kr | KAMCO (韓国財産管理公社) | O | |||
| kamco.webs.kro[.]kr | X | ||||
| k-bank.o-r[.]kr | Kbank | X | |||
| k-bank1.kro[.]kr | X | ||||
| heungkukfire.p-e[.]kr | Heungkuk 火災 | O |
ダウンロードされる不正な APK はすべてボイスフィッシングに使用される不正なアプリであることが確認された。解析度はモバイルで最適化され、モバイルで接続すると以下のようなページを確認できる。
上記の画像は、左から Kbank / 新韓銀行 / 韓国財産管理公社(KAMCO) / KakaoBank / pepper 貯蓄銀行を偽装した不正なアプリダウンロードページであり、それぞれのページに存在する「アプリダウンロード」もしくは「申請書作成」などのボタンをタッチすると不正なアプリがダウンロードされる。
この不正なアプリは、金融機関を偽装してアプリがインストールされた端末で特定の電話番号に電話をかけると、発信した電話を乗っ取りして攻撃者が指定した番号に接続する機能を持っている。アプリを実行すると「V3 mobile plus」アプリを偽装したアプリをダウンロードしてインストールするように誘導し、ダウンロードされたアプリに不正な機能を含ませている。
フィッシングメールを通してこのように巧妙な方法で不正な URL に接続できるため、ユーザーは出どころの分からないメール / SMS などの閲覧は控えなければならない。
現在 V3 では、このドメインをフィッシングサイトとして遮断している。
[IOC]
hxxp://conf.simpleedit.n-e[.]kr
hxxp://foward.viewpropile.p-e[.]kr
hxxp://dashboard.quikveoriy.o-r[.]kr
hxxp://www1.quickedit.o-r[.]kr
hxxp://www2.configment.p-e[.]kr
hxxp://wvw3.secure-edit.n-e[.]kr
hxxp://wwv3.supports.o-r[.]kr
hxxp://wvw1.user2list.kro[.]kr
hxxp://shinhanbank.kro[.]kr
hxxp://smartshinhan.kro[.]kr
hxxp://tos.p-e[.]kr
hxxp://kbank.o-r[.]kr
hxxp://k-bank1.kro[.]kr
hxxp://kamco.kbloan.r-e[.]kr
hxxp://kakaosaving.kro[.]kr
hxxp://naver.o-r[.]kr
hxxp://naver.kro[.]kr
hxxp://naver65.n-e[.]kr
hxxp://digital.pepperbank.kro[.]kr
hxxp://inglife.kro[.]kr
hxxp://nhlife.kro[.]kr
hxxp://kamco.kbloan.kro[.]kr
hxxp://kamco.webs.kro[.]kr
hxxp://k-bank.o-r[.]kr
hxxp://k-bank1.kro[.]kr
hxxp://heungkukfire.p-e[.]kr
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報