AhnLab SEcurity intelligence Center(ASEC)は、最近韓国国内の有名ポータル N 社のログインページに偽装したフィッシング事例を解析し、攻撃者に関する一部情報を確保した。
フィッシングメールなどに添付されたハイパーリンク形態で配布されたものと推定される偽のログインページは、N 社の本物のログインページに非常に似ており、肉眼ではフィッシングサイトと区分することが難しい。
このページにログイン情報を入力すると、下図のように攻撃者が設定した C2 サーバーへ情報が送信される。
攻撃者のドメインの解析中にフィッシングページサーバー内部で動作するコードを確保し、フィッシングページを通して攻撃者に送信されたログイン情報がどう処理されるかに関する多数の PHP コードを獲得することに成功した。攻撃者が窃取したユーザー情報がどう処理されるか確認していく。
1. パケットに含まれたログイン情報と Client 情報の収集
フィッシングページから POST 方式で受信したパケットから、ユーザーが入力した電子メール情報と Password 情報を収集し、正規表現式を活用してこのパケットを送信した Client 側の OS 情報とブラウザ環境を把握する。
2. パケットに含まれた Source IP 情報を活用して追加情報の収集
攻撃者は、パケットに含まれた Source IP 情報を活用して geoplugin サイトにクエリし、その IP が属した国、地域、都市情報を追加で収集していることが確認された。この geoplugin サイトは、入力から獲得した IP アドレスに関する情報を json フォーマットの形態で返すプラグイン形態の正常なサービスと確認されるが、本フィッシングケースのように攻撃者側でも悪用することができる。
3. 収集した情報をベースにメール本文を完成し、攻撃者のメールアドレスに送信
攻撃者は、上記の1、2番の項目で収集した情報をベースに下記のように $message 変数を完成する。この変数には、フィッシングで収集したログイン情報(電子メール、パスワード)、IP アドレス、国、地域および都市、Client の Browser 環境と OS 情報が含まれる。
解析中にこの本文が送信される電子メール、すなわち攻撃者と推定される多数の電子メールも確保したが、主にベトナム語で構成されていた。
今回の事例は、攻撃者がフィッシングの振る舞いで獲得したログイン情報が、どのようなプロセスを経て攻撃者に送信されるかをよく示している。このように窃取されたユーザー情報は、追加の不正な振る舞いのターゲットになる危険がある。出どころが不明なメールの閲覧から接続されるログインページを使用する際は注意を払う必要があり、定期的にアカウント情報を管理する必要がある。
[IOC 情報]
MD5
87cf92cb5ff0fc445fb05dfc7321bd3e : Phishing/HTML.FakeNaver.SC196455
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報