ASEC 分析チームは1月10日に kakao ログインページに偽装して特定のアカウント情報を窃取した状況を紹介した。
攻撃者は脆弱な Web サイトを利用してドメインを生成していたが、同じ方式で NAVER ログインページに偽装した内容が確認されたため、本記事で紹介する。
NAVER カスタマーセンターに詐称したタイプのメールと、このメールを通して個人情報を窃取しようとする Web ページは数年前から継続的に確認されている。
しかし最近では、同じドメインを活用して kakao を詐称するページに引き続き、NAVER を詐称するページまで生成したことが確認された。
図1.NAVER ログイン画面に偽装した Web ページ
「パスワード再確認」ページに接続すると見られ、ユーザーの個人情報の修正を推奨する内容を含んだフィッシングメールを通して、この URL を拡散したものと推定される。
この URL に接続すると、ログインフォーマットの ID は完成されていることが確認され、パスワードフォーマットにデータを入力すると、攻撃者のサーバーにアカウント情報が流出する。
図2.kakao ログイン画面に偽装した Web ページ (図1. のページと同じドメインを活用)
NAVER ログインに偽装した画面では「@naver.com」のドメイン名までを含んで ID を完成させてあるため、製作時の精巧さに欠けることが見受けられるが、ユーザーが疑って様々なボタンをクリックすることを考慮してか、すべてのボタンで正常なページと偽造したページを適度に混ぜて接続しているのも注目すべきポイントだと言える。
実際に以下のように右上のユーザー画像をクリックすると表示される「自分の Pay ポイントを確認(正常なページで残額が表示される)」/「マイブログ」/「加入済みコミュニティ」/「NAVER +メンバーシップ」ボタンがあり、「NAVER +メンバーシップ」を除く他のボタンはすべて正常な NAVER Web ページに接続されるが、「NAVER +メンバーシップ」ボタンは実際のサービス広告画像と同じものを挿入して製作されたページに接続される。
図3.操作されたページ(1)
図4.操作されたページ(2)
上の図のページ下にある「今すぐ無料で始める」ボタンをクリックした場合には、攻撃者が製作した「パスワード再確認」ページに再接続される。
また右上の「すべてのサービスを見る」ボタンでは、正常なページの場合「http://www.naver.com/more.html」に接続されるが、攻撃者が製作したページでは以下のように wwwid で始まるドメインに接続される。
図5.操作されたページ(3)
現在までに ASEC 分析チームで確認できるところでは、攻撃者は「Gnuboard 4」を通して製作された Web サイトを活用していると見られる。
PHP ベースのオープンソースインストール型インターネット掲示板プログラムであり、既知の CMS(Contents Management System)は2013年3月に「Gnuboard 5」がリリースされたが、多くの Web 脆弱性が存在する「Gnuboard 4」ベースの Web サイトがいまだに多く使用されていることが確認された。
ASEC 分析チームでは、確保した Reverse DNS データと関連 IP/ドメインおよび関連ファイルからみて、Kimsuky 組織によるものであると推定している。
現在も多数のドメインを活用して製作された kakao/NAVER を詐称した Web ページが確認されており、ID フォーマットで完成されたアカウントは、随時変更されながら攻撃が続いている。実際に kakao ログインページに偽装した画面では、入力が完了していた ID が2日間隔でマスコミの記者から統一部傘下の特定の会員団体の代表アカウントに変更されていたことが確認され、上記で紹介した URL でも短い間隔で入力が完了しているアカウントが変更されていることが確認された。
アプリケーションと連携しているアカウントでログインできる簡易ログイン機能が導入され、ユーザーが無意識にログインをすることを意図していると見られる。ユーザーは認証の有無が不明な Web ページでの分別のないログインは決してしてはならず、もしアカウントが流出しても他の場所で使用されることのないように2段階認証をしておく必要がある。
また、運営している Web サイトが脆弱なバージョンを活用しているかの確認が必要な場合、製作元が提供する最新バージョンへのアップデートを推奨する。
[IOC]
hxxp://accountskakao.bim-mgn[.]com
hxxp://nid.bim-mgn[.]com
hxxp://wwwid.bim-mgn[.]com
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報