threat-research

偽のDropboxに隠されたフィッシングネットワークを掘り起こす

サポートセンターに対する攻撃に関して我々が以前に行った調査の1つで、FortiGuard Labsは犯罪者によって使用されたドメインのリストを偶然入手しました。その後の監視プロセス中に、Dropboxログインページを装ったWebサーバーの1つでフィッシングHTMLページを発見しました。このページの接続状況を分析したところ、これと同じページがWeb上の他の数百箇所に存在することが判明しました。さらなる調査の過程で、この「非常に大規模な」フィッシング事件で使用されたと思われるフィッシングキットが見つかりました。

この記事では、これらのフィッシングページを分析するとともに、これらのページを作成するために使用されたと思われるツールセット、および犯罪者がそのフィッシングツールセットに残した痕跡を分析します。


つる草の葉(Bindweed's Leaf) - フィッシングページ

我々の以前の調査で発見したドメインの1つはbrtory[.]comです。このドメインには、dropboxfileという名前のサブドメインがあります。我々の調査の1つ目のポイントは、フィッシングHTMLページであるこのサブドメインのディレクトリ内にあります。

hxxp://dropboxfile.brtory[.]com/dropbox/filebox/dropboxx/index.php
48c13f603da1e1540cc9530b5c1d50497a128243e4952a161e84581554b138b4

このページのURLを考慮すると、これがDropboxログインページを装ったページであることは驚きではありませんでした。このフィッシングページの外観は本物のDropboxサインインページとまったく同じではありませんが、無警戒なユーザーを騙すには十分似通った外観です。

図1:左側がフィッシングページ、右側が本物のDropboxログインページ

図1:左側がフィッシングページ、右側が本物のDropboxログインページ

ただし、「パスワードをお忘れですか?」や「アカウントを作成」などのいくつかの重要な要素が欠落していることに注目してください。このような不備は、多くのフィッシングページに共通するものであり、表示しているページが実際には偽物であることを見抜くのに役立ちます。

次に、このフィッシングページのコードに目を向けてみましょう。このHTMLページでは"SpryAssets"というDreamweaverライブラリが使用されています。さらに調査したところ、このライブラリを使用している一連のフィッシングサイトが見つかりました。その理由は、このライブラリの入力データ形式検証機能が便利だからです。本物のDropboxログインページでは"SpryAssets"ライブラリは使用されていません(少なくとも本記事の執筆時点では)。

図2:フィッシングページコードの一部

図2:フィッシングページコードの一部

フィッシングサービスは通常、ユーザーによって入力されたデータ(通常はログイン名とパスワード)を犯罪者に送信できるように設計されています。この目的を達成するには、いくつかの方法があります。このケースでは、フィッシングページでは同じURLに対してPOSTメソッドが使用されており、"form action"フィールドを使用してフォームの送信先が指定され、"#"という値は"#"という接尾辞が追加された同じURLに対応しています。

図3:フィッシングHTMLページのコードの一部

図3:フィッシングHTMLページのコードの一部

我々は、フィッシング電子メールの添付ファイルとして使用されたこのページの改変版を発見できました。次の図では、このような電子メールの例を示しています。このケースでは、"form action"フィールドには"#"という値は含まれていませんが、ユーザーによって入力されたデータを送信するための完全修飾URLが代わりに含まれています。当然ながら、他のすべての関連パスも攻撃者によって制御されたサーバーの絶対パスに変更されています。

図4:フィッシング電子メールの例

図4:フィッシング電子メールの例

図5:電子メール攻撃で使用されたフィッシングHTMLページの一部

図5:電子メール攻撃で使用されたフィッシングHTMLページの一部


短縮URLの証拠

同じオブジェクト(初期HTMLページ)に誘導する複数のURLを分析したところ、一部のURLの「末尾」に追加されたある文字列を発見しました。次の図では、1つの例に下線を引いています。Googleでの検索結果によると、この追加された文字列の意味としては、hootsuite.comという短縮URLサービスが使用されたこと、およびこのサービスのダッシュボードリンク短縮サービスを使用してこの短縮リンクが作成されたことが考えられます。

図6:短縮URLサービスの「末尾の目印」

図6:短縮URLサービスの「末尾の目印」

その後、ow.lyというリンク短縮サービスが使用された別の事例が見つかりました。この短縮サービスもHootsuiteに関連しています。

Hootsuite.comは、「ソーシャルメディア管理」プラットフォームとして宣伝されています。したがって、電子メールメッセージを使用したフィッシング攻撃だけでなく、ソーシャルメディアメッセージ内でもフィッシング攻撃が展開されたと推測できます。


つる草の枝をたどる - フィッシングネットワーク

継続調査中に、初期オブジェクト(HTMLページ)がネットワーク上の数百箇所にコピーされていたことがわかりました。ただし、話はこれで終わりませんでした。関連するドメインの分析を開始したところ、これらのドメインでは複数のフィッシングページをホストすることも可能であることが判明しました。

たとえば次の図では、earthspiritenergies[.]com.auというドメインの関連グラフを示しています。このドメインの「葉」の1つは、初期HTMLページです(黄色の四角枠内)。赤色の丸枠内のURLは、Dropboxフィッシングページに関連しています。簡潔にするために、ここでは7つのURLしか表示していませんが、実際にはさらに数十個のURLがあります。"Dropbox"クラスターの横に、DocuSignフィッシングページを表す別の「枝」(青色の丸枠内)があります。

図7:earthspiritenergies[.]com.auドメインのさまざまなフィッシングURLクラスター(グラフの作成にはVirusTotal Graphを使用)

図7:earthspiritenergies[.]com.auドメインのさまざまなフィッシングURLクラスター(グラフの作成にはVirusTotal Graphを使用)

もう1つの興味深い例は、qtymusic[.]comというドメインです。次の図では、Dropboxフィッシングページのクラスターを示しています(今回は青色の丸枠内)。緑色と紫色の丸枠で囲んでいるのはそれぞれcPanelとWebdiskのURLです。調査時にはこれらのURLにアクセスできなかったため、これがもう1つのフィッシングページであったのか、Webサーバーコンテンツを管理するために使用される本物のcPanelであったのかは確認できませんでした。

図8:qtymusic[.]comドメインの接続グラフ(グラフの作成にはVirusTotal Graphを使用)

図8:qtymusic[.]comドメインの接続グラフ(グラフの作成にはVirusTotal Graphを使用)

ただし、ここでは新しい要素があります。POSソフトウェアに関連する不自然なURLが示されています。このURLはドメイン名と一致しないため、このリンクも犯罪者によって挿入された可能性があります。

調査時にはこのURLのコンテンツにアクセスできませんでしたが、このリンクを逆方向にたどってみることはできます。次の図では、Googleで当該ドメインについて検索した結果を示しています。

図9:qtymusic[.]comのGoogle検索結果

図9:qtymusic[.]comのGoogle検索結果

このGoogle検索結果から次の2つのことがわかります。

  • qtymusic[.]comへのリンクが含まれた数百個の異なるWebサイトが存在します。
  • このリンクは文章の途中に無作為に挿入されています。

これらのドメインのすべてが犯罪者によって登録された可能性は低いと思われます。それよりも可能性が高いと思われるのは、これはqtymusic[.]comを宣伝することを目的としたハッキング攻撃の結果であるということです。

図10にはこれらのサイトの1つを示しており、このサイトには現在はqtymusic[.]comへのリンクが含まれています。このケースでは、このリンクはハッキングされた日本国内病院のWebサイト内で表示されます。

図10:qtymusic[.]comへのリンクが無作為に挿入された改ざんされたWebサイト

図10:qtymusic[.]comへのリンクが無作為に挿入された改ざんされたWebサイト

ハッキングされたWebサーバーの数が多いこと、およびハイパーリンクの挿入の仕方が「でたらめ」であることから、何らかの自動処理が使用されたと判断できます。おそらく、これらすべてのWebサーバーに共通している脆弱性を悪用して、犯罪者が改ざんスクリプトを実行したと思われます。


つる草の「根」まで掘り進む

この時点で、我々が対処しているものは、数千台もの脆弱なWebサーバーに「巻き付いた」何らかのフィッシングマルウェアネットワークであることを理解しました。これが、このネットワークをつる草と呼んでいる理由です。我々は、まずこのネットワークの「葉」を調べてから、「枝」をたどりました。しかし、このネットワークに本当に「根」はあるのでしょうか?

「論理的な根」はまだ見つかっていませんが(このフィッシング攻撃の実行者など)、「技術的な根」は見つかりました。具体的には、サーバーのフィッシングインフラストラクチャを構築するために使用されたと思われるフィッシングキットを何とか見つけることができました。


フィッシングキット

ab851e5b17f382fdea66e5c52aec6cfde70881e492211ea0e4b4551e60d7b409

このフィッシングキットは基本的には、本物のDropboxログインページに偽装するために必要なディレクトリ、画像、CSS、およびPHPスクリプトの一式が含まれたZIPアーカイブです。フィッシングキット内のすべてのパスは相対パスです。したがって、詐取した情報の送信先となる電子メールアドレス以外は、このキットのスクリプトに何の変更も加えることなく、脆弱なサーバーに対してこのキットを解凍できます。

図11:フィッシングキットの画像ファイルディレクトリ

図11:フィッシングキットの画像ファイルディレクトリ

Index.phpは、HTMLページが埋め込まれたPHP対応ページです。このHTMLページは、我々の調査の開始点となったのと同じページです。verification.phpページを使用して、攻撃対象者に電話番号を送信するように促します。どちらのページでも、ユーザーの入力内容を送信するための同じコードを共用しています。

次の図で示しているコードは、入力された情報を指定された電子メールアドレスに送信しようとします。その後、ユーザーを本物のDropboxページに誘導します。

図12:ユーザー情報を指定された電子メールアドレスに送信するためのコード

図12:ユーザー情報を指定された電子メールアドレスに送信するためのコード

上の図から、何者かによって2つの送信先電子メールアドレスがすでに入力されていることがわかります(赤色の四角枠内)。これらは「つる草(Bindweed)」ネットワークで使用されたのと同じアドレスではないことがわかっています。代わりに、これらはおそらくこのキットを最初に公開した人物の電子メールアドレスでしょう。もう1つの可能性として、これらの電子メールアドレスが作為的に挿入されたことが考えられます。たとえば、このアーカイブの公開者にとって好ましくない人たちの関与を捏造するためです。

ともかく、これらの電子メールアドレスについて調べることにしました。


見つかった電子メールアドレス

anthonysaffo24[@]gmail.comを検索したところ、このアドレスを2015年の詐欺事件と結び付ける情報が見つかりました。その内容は、この電子メールアドレスを使用して賃貸住宅の敷金を騙し取ったというものです。また、この電子メールアドレスの背後にいる人物は、この賃貸住宅とは何の関係もないようです。この事件に関する話を見つけた場所はこちらです。

引用されている電子メールメッセージ内で、(336) 291 38XXという電話番号を見つけました。このscambookスレッドによると、これと同じ電話番号が複数の電子メールアドレスで使用されたことがありましたが、どれも同じ詐欺筋書きに沿ったものでした。したがって、これらの他の電子メールアドレスも下記と同じアクターグループによって使用されている可能性が高いです。

anthonysaffo24[@]gmail.com
ashleydenton67[@]yahoo.com
truss.jason[@]yahoo.com
davidsewell197[@]outlook.com


まとめ

FortiGuard Labsは、数千台もの脆弱なWebサーバーを悪用したフィッシングネットワークを発見しました。これらのサーバーの一部では、複数のフィッシングドメインが存在していました。これらのWebサーバーは2つの無関係なグループによって別々に悪用されていた可能性があります。フィッシングページで使用されていたコードにかなりの差異があったからです。

さらに、公開されているフィッシングキットの1つを使用してDropboxフィッシングページが作成されていたことを突き止めることができました。このフィッシングキット内で、いくつかの挿入された電子メールアドレスが見つかり、これらのアドレスの1つは詐欺事件で使用されていたことがわかりました。

FortiGuard Labsは、今回の調査で見つかったWebサーバーとドメインを引き続き監視していきます。


ソリューション

フォーティネットのユーザーは、以下のソリューションによってこの記事で述べたフィッシングの脅威から保護されています。

  • ファイルはFortiGuard Antivirusによって検知されます。
  • 悪質なURLやフィッシングURLは、フォーティネットのFortiGuard Webフィルタリングサービスによってブロックされます。

IOC

7257f7be6c9657fad0503096935d268a763e0f6e413c139d85dad2c307b52e5e - HTML/Agent.1D14!Phish
48c13f603da1e1540cc9530b5c1d50497a128243e4952a161e84581554b138b4 - HTML/Phish.58FC!tr
ab851e5b17f382fdea66e5c52aec6cfde70881e492211ea0e4b4551e60d7b409 - PHP/Agent.ECD6!Phish

547件のURLがフィッシングとしてWebフィルタリングに追加されました。

-= FortiGuard Lionチーム=-


最新の脅威に関する詳細については、四半期ごとの脅威レポートの最新版をご覧ください。

FortiGuard Labsでは、脅威インテリジェンス情報(英文)を毎週お届けしていますので、ぜひご購読ください。