Aggressive Inventory Zombies:小売・暗号業界を狙うフィッシングネットワークをSilent Pushが暴く | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Aggressive Inventory Zombies:小売・暗号業界を狙うフィッシングネットワークをSilent Pushが暴く

Threat Report

Eコマース

Silent Push

フィッシング

Aggressive Inventory Zombies:小売・暗号業界を狙うフィッシングネットワークをSilent Pushが暴く

佐々山 Tacos

佐々山 Tacos

2024.12.17

本記事は、マキナレコードが提携するSilent Push社のブログ記事『Silent Push Unwraps the AIZ—Aggressive Inventory Zombies—Retail & Crypto Phishing Network Campaign』(12月11日付)を翻訳したものです。

こちらのページから、Silent Pushが公開しているその他のブログ記事もご覧いただけます。

Silent Pushについて

Silent Pushは、先駆的なサイバーセキュリティインテリジェンス企業です。リアルタイムで新たに出現する脅威インフラを完全に把握し、独自の未来攻撃指標(IOFA)データを通じて、攻撃を効果的に阻止します。Silent Pushは、スタンドアロンのプラットフォームとして提供されるだけでなく、APIを通じてSIEM、XDR、SOAR、TIP、OSINTを含むさまざまなセキュリティツールと統合し、自動化された実行可能なインテリジェンスを提供します。顧客には世界最大規模の企業や政府機関が含まれています。

関連記事:マキナレコード、Silent Pushと提携し、攻撃を未然に防ぎ被害を防ぐ先制サイバー防御ソリューションを提供

主な調査結果

Silent Pushの脅威アナリストは、ある脅威アクター(以下、「同脅威アクター」または「同アクター」)の活動を2024年を通じて追跡してきました。同アクターの活動は、ここ数か月で目に見えて明らかなほど増加しています。

Etsyになりすました不審なドメインがいくつか確認されたことがきっかけとなり、Silent Pushは小売ブランドを標的とした大規模なフィッシング・豚の屠殺詐欺ネットワークと、暗号資産を狙ったフィッシングキャンペーンを発見することができました。

  • 小売業界を狙うこのフィッシングキャンペーンはEtsyにとどまらず、Amazon、BestBuy、eBay、Wayfairなどの大手小売業者やマーケットプレイスを標的としています。
  • 同脅威アクターは、人気のWebサイトテンプレートを使ってこれらのフィッシングサイトを構築し、フィッシングアクティビティを実施する場としてチャットサービスをサイトに組み込んでいます。
  • 小売業界を標的としたこの「Aggressive Inventory Zombies(AIZ)」キャンペーンは、暗号資産ユーザーをもターゲットにしています。また、AIZネットワーク内のサイト数の規模は、これが相当な労力をかけて構築されたものであることを示しています。
  • Silent Pushの脅威アナリストチームは、関連するいくつかのインフラのテイクダウン活動においてStark Industriesと協力する中で、このネットワークに関する調査を広げていくためのきっかけとなる情報を大量に受け取りました。Stark社は、同脅威アクターが使用していたその他のIPを数十件ほど共有してくれたのです。これにより私たちは、これらの有害キャンペーンの全容に対する理解をさらに深めることができました。
  • 本調査により、同脅威アクターはインドと何らかの金銭的な繋がりを有していることが裏付けられています。

概要

Silent Pushの脅威アナリストチームは最近、Eコマース企業Etsyになりすましたものと思われる不審なドメインを数件観測しました。当初私たちはこれを2024年のホリデーシーズンに合わせた時節的なものであると考えていましたが、さらに調査を進めたところ、スケールの大きなフィッシングキャンペーンと、暗号資産ユーザーを狙ったフィッシングネットワークを発見するに至りました。

小売業界をなりすましの対象とするこのフィッシングキャンペーンはEtsyだけでなく、AmazonやBestBuy、eBay、楽天、Wayfairなどの大手小売企業をもターゲットにしていることがわかったのです。

このキャンペーンを首謀する脅威アクターは、フィッシングサイト構築のためにある人気Webサイトテンプレートを使用しており、主に、構築したサイトへ備え付けられたチャットサービスを通じてフィッシングの活動を実施していたものと思われます。小売サイトでのフィッシングプロセスをテストした際に入手できた機微な情報のいくつかを基に、Silent Pushのチームは、当該アクターがインドとの金銭的な結びつきを有しているという裏付けを取ることができました。

小売業界に対するこのキャンペーン「Aggressive Inventory Zombies(AIZ)」の背後にいる脅威アクターが暗号資産ユーザーも標的に含めていることは明白であり、またAIZネットワークに帰属するフィッシングサイトの規模からは、これが相当な労力をかけて構築されたものであることが示されています。

今回の調査結果を報告する本ブログではまず、私たちがAIZの小売ネットワークについて知っていくに至った過程をお伝えするところから始めて、その後で暗号資産関連サイトやSilent Pushが発見したその他のインフラに関する追加情報をお伝えします。

Silent Push Enterpriseユーザーのみなさまは、調査期間中にSilent Pushが収集したすべての真陽性ドメインとIPを含む2つの専用IOFAフィードにアクセスすることが可能です。

なお、OPSEC上の理由から、利用された各クエリおよびピボットの正確な詳細を共有することはできません。Silent Push Enterpriseユーザーのお客様は、専用のAIZ Retail & Crypto Phishing Network TLP Amberレポートへアクセスすることが可能です。このレポートには、本ブログで言及されているインフラを追跡するために実際に当社が使用した関連するデータタイプおよびピボットポイントがすべて記載されています。

 


Silent Pushコミュニティ版の無料アカウント、サインアップはこちらから

Silent Pushの無料コミュニティ版へご登録いただくと、本ブログで言及されたすべてのツールおよびクエリを利用できるようになります。

サインアップはこちらから

 

※Silent Pushの日本でのお問い合わせは、弊社マキナレコードにて承っております。

詳しくは弊社ホームページをご覧いただくか、以下のフォームよりお問い合わせください。


 

小売業界狙ったAIZキャンペーンのバックグラウンド

Silent Pushの脅威アナリストは2024年を通じてある脅威アクターの活動を追跡してきましたが、このアクターの活動は、ここ数か月間で目に見えて明らかなほど勢いを増しています。同アクターが首謀する大規模なフィッシングキャンペーンの発見は、Etsyになりすましたものと思われる不審なドメインを当社の研究者が観測したところから始まりました。

Etsyにとどまらず、このフィッシングキャンペーンはAmazonやBestBuy、コストコ、eBay、楽天、Wayfairなどを含む、大手の小売企業やマーケットプレイスをなりすましの対象にします。

同脅威アクターは、Envato上で誰もが購入可能で9,000件近い販売数を誇っている人気Webサイトテンプレートを使用して、小売業者を模倣したフィッシングサイトを構築しています。これらのフィッシングサイトには数十〜数百件の商品が掲載されていますが、こうした商品情報はほかのサイトからスクレイピングされているものとみられます。各商品の正確な品名を一般的な検索エンジンで検索(完全一致検索)すると、同脅威アクターのネットワークに帰属するまた別のWebサイトが複数発見されました。

この脅威アクターは主に、各フィッシングサイトに統合されたチャットサービスを通じてフィッシングの活動を実施しているものと思われます。なお一部のサイトに関しては、有効な決済システムを有していません。Silent Pushのチームは、そうしたサイト上でフィッシングプロセスをテストした際に機微性の高い情報をいくつか入手しました。これらの情報を基にすると、このアクターがインドとの金銭的な結びつきを有しているという裏付けを取ることができます。

Silent Pushの脅威アナリストチームがAIZの小売業界フィッシングネットワークの活動を深堀っていくにつれ、同脅威アクターは暗号資産ユーザーをも標的に含めていることが見えてきました。使い回されたメタデータを調べたところ、バイナンスやクラーケン、およびその他さまざまな暗号資産関連ブランドを模倣した多数の暗号フィッシングサイトから成る巨大プールの存在が見つかったのです。

初期の調査を終えて影響を受ける組織への注意喚起プロセスを開始した後、私たちはStark Industries(ASN44477)でホストされているドメイン数件のテイクダウン依頼を行いました。すると30分もしないうちにStarkは有害なホストのテイクダウンを行っただけでなく、当該IPの登録に使われたアカウントと、別の34件のIPとの関連を暴くことにも成功しました。そのうちのいくつかは似たような小売系のフィッシングサイトをホストしていましたが、暗号資産系のフィッシングサイトから成る新たなサイト群もいくつかホストされていました。Starkから共有されたこの手がかりをきっかけに、アクターのインフラのさらなる未知の部分へ調査を広げることも可能になりました。

なりすましの対象となった主なブランド:

  • Etsy
  • Allegro
  • AliExpress
  • Amazon
  • ASOS
  • BestBuy
  • eBay
  • コストコ
  • Flipkart
  • 楽天
  • Shopee
  • Temu
  • TikTok
  • Wayfair
  • Wish

初期のインテリジェンス収集

Silent Pushの脅威アナリストは、最近登録されたドメインのレビューを行っていた際に、Etsyの公式ストアを模倣したものと思われる数件のドメインを発見しました。なおEtsyとは、ハンドメイド商品やヴィンテージ商品、手芸用品の販売を専門とする人気のEコマース企業です。

2024年11月初旬に登録された、Etsyの模倣ドメイン

2024年11月初旬に登録された、Etsyの模倣ドメイン

以下は、Silent Pushが発見した6件のドメインで、いずれもEtsyへなりましたものです。

  • etsyappstoreglobal[.].com(ライブページ – 11月13日時点)
  • etsyappstoreglobal[.]xyz(ライブページ – 11月13日時点)
  • etsyshopinr[.]com(ライブページ – 11月13日時点)
  • etsyvipinr[.]com(ライブページ – 11月13日時点)
  • etsyclubvip[.]xyz
  • etsyappstorevip[.]xyz

ライブサイト:etsyappstoreglobal[.]com、Etsyを模倣している

ライブサイト:etsyappstoreglobal[.]com、Etsyを模倣している

Etsyになりすましたものとみられる上記6件のドメインは、2.56.178[.]87へマッピングされました。またライブサイト4つについては、いずれも同じテーマを利用していました。

ライブサイト:etsyvipinr[.]com、Etsyを模倣している

ライブサイト:etsyvipinr[.]com、Etsyを模倣している

ライブサイト:etsyappstoreglobal[.]com、Etsyを模倣している

ライブサイト:etsyappstoreglobal[.]com、Etsyを模倣している

ライブサイト:etsyappstoreglobal[.]xyz、Etsyを模倣している

ライブサイト:etsyappstoreglobal[.]xyz、Etsyを模倣している

「Etsy」騙るサイトから他ブランドの模倣サイトまで

初期の調査を行う中で、Silent Pushの脅威アナリストチームはEtsyになりましたサイトがいずれも同じWebサイトテーマを利用していること、またいくつかのコードも共通していることに気づきました。そこで私たちは、調査をさらに広げるための糸口になりそうなものを探し始めます

多数の小売業者がなりすまし対象に

まず私たちは、Amazon、BestBuy、eBayに関してSilent PushのWebスキャナークエリを実行するという形で、実験的に調査を行ってみました。以下が、その結果見つかった模倣サイトの具体例です。

Amazon:

amazon-ecommerce-shop[.]com

amazon-ecommerce-shop[.]com

amazon-ecommerce-shop[.]com

amazon-ecommerce-shop[.]com

BestBuy:

vnbestbuy[.]store

vnbestbuy[.]store

eBay:

ebay-i[.]shop

ebay-i[.]shop

ebaymerchant[.]xyz

ebaymerchant[.]xyz

ブランド名1,300件を調査

Etsyから始め、その後Amazon、BesyBuy、eBayおよびその他のブランドを検索し、といった具合でおよそ1,300件のブランドをチェックしたところ、このフィッシングネットワークに帰属する真陽性サイトのリストが作成できました。対象になったブランドには、Etsy、Allegro、AliExpress、Amazon、ASOS、BestBuy、eBay、コストコ、Flipkart、楽天、Shopee、Temu、TikTok、Wayfair、Wishなどが含まれます。

cross-borderstore[.]com – TK-Store(TikTokストア)

cross-borderstore[.]com – TK-Store(TikTokストア)

「Aggressive Inventory Zombies」ネットワークで見られた、アマチュアレベルの収益化の取り組み – 「不在」の販売者とのフィッシングチャット

この脅威アクターが作成した有害Webサイトには、ほかのサイトからスクレイピングしたものとみられる商品情報が掲載されています。そしてこれらの商品の品名をそっくりそのまま一般的な検索エンジンで検索(完全一致検索)してみると、このフィッシングネットワークに帰属するさらなるWebサイトが暴き出されます。これらのサイトには数十(〜数百)点の商品が掲載されており、各商品は特定用語での検索を行うと検索結果として表示させることが可能です。

例えば、Googleショッピングの検索機能を使って「Fashion Women’s PU Leather Handbags Tote Purse Crossbody Messenger Satchel Bags」という商品名で完全一致検索を行うと、以下のような結果が表示されます。

「”Fashion Women’s PU Leather Handbags Tote Purse Crossbody Messenger Satchel Bags”」で完全一致検索をした結果

「”Fashion Women’s PU Leather Handbags Tote Purse Crossbody Messenger Satchel Bags”」で完全一致検索をした結果

これらのEtsyなりすましサイト上の「連絡先情報(Contact Info)」というセクションには本物のEtsyの電話番号1件が記載されていますが、「etsys6151@gmail[.]com」など偽のメールアドレスの記載もあります。

上記に加え、このフィッシングサイトが用いる偽メールアドレスには以下が含まれます。

  • cskhEbay8686@gmail[.]com
  • miravia88888@gmail[.]com
  • aisellemall@gmail[.]com

フィッシングサイト上に記される支払い手段には、暗号資産による決済や本家Etsyが受け付けていない決済方法も含まれています。

本物のEtsyが受け付けていない支払い方法も

本物のEtsyが受け付けていない支払い方法も

同フィッシングネットワーク上のサイトの中には、商品ページへ移動して当該商品をカートに入れるだけで購入のプロセスがスタートするものがいくつかあります。購入プロセスが始まるとチェックアウトページへ飛ばされますが、ここには以下のスクリーンショットのように、PayPal、「代金引換(Cash on Delivery)」、暗号資産テザー(USDT)の3種の支払いオプションが用意されています。

フィッシングサイトetsyappstoreglobal[.]comにおける購入〜チェックアウトのフロー

フィッシングサイトetsyappstoreglobal[.]comにおける購入〜チェックアウトのフロー

etsyappstoreglobal[.]comにおけるこの購入フローをテストしようとしてみたところ、PayPalのオプションは使用できず、「代金引換」オプションを選んでも何の情報も提供されなかったほか、テザーのオプションは送金先のウォレットIDが提示されませんでした。なおこのフィッシングサイトでは、2015年に設立されたフランス企業(crisp[.]chat)製のチャットウィジェットが使用されていました。

次に、同フィッシングネットワークに属するまた別のWebストア(ai-tiktok[.]top)をレビューしたところ、先ほどの例とは異なる購入オプションが見つかりました。今回のストアでは「カスタマーサービス(Customer Service)」というオプションがあり、ここには銀行口座番号とルーティング情報(ABA番号)を取得するための試み、つまり、実質的に当座預金口座の情報を詐取しようとする試みだろうと思われる文言が表示されています。

ai-tiktok[.]topのチェックアウトページ。当座預金口座の情報を詐取しようとする文言が確認できる

ai-tiktok[.]topのチェックアウトページ。当座預金口座の情報を詐取しようとする文言が確認できる

このサイト(ai-tiktok[.]top)ではまた、「USDT(テザー)」のオプションも用意されており、送金先と思われるウォレットのアドレス「THNjjnCzxyiMrzhm6mrn36wLhUe2raoS4k」が表示されますが、どうやら約30ドル相当の資産しか保管されていないウォレットのようです。これが同脅威アクター自身のウォレットなのか、一般的なアドレスが埋め込まれているだけなのか、どちらなのかはわかっていません。

ai-tiktok[.]topのチェックアウトページ

ai-tiktok[.]topのチェックアウトページ

TikTokを装う同サイト(ai-tiktok[.]top)には、「Online Customer Service(オンラインカスタマーサービス)」なるものへの目に留まりやすいリンクが掲載されています。これをクリックすると「chat.ssrchat[.]com/service」へとリダイレクトされ、ユニークなチャットセッションIDが付与されます。

ai-tiktok[.]topの目に留まりやすい場所にある「Online Customer Service」タブ

ai-tiktok[.]topの目に留まりやすい場所にある「Online Customer Service」タブ

同TikTokショップ(ai-tiktok[.]top)でSilent Pushの研究者が「Online Customer Service」タブをクリックしてみたところ、chat.ssrchat[.]com/serviceへとリダイレクトされました。ここでついに、自称「カスタマーサポート」が口を挟んでくることになります。

chat.ssrchat[.]comでのチャットの様子

chat.ssrchat[.]comでのチャットの様子

chat.ssrchat[.]comでのチャットの様子(続き)

chat.ssrchat[.]comでのチャットの様子(続き)

chat.ssrchat[.]comでのチャットの様子(続き)

chat.ssrchat[.]comでのチャットの様子(続き)

この自称サポートスタッフは私たちに「商品を閲覧しているとき、販売者(merchant)に関する情報は表示されますか?」と尋ねました。これは、見過ごされやすい位置にある「Contact the Merchant(販売者に連絡)」というリンクを暗に指し示すための問いかけです。

「Contact the Merchant(販売者に連絡)」というリンク(サイト:ai-tiktok[.]top)

「Contact the Merchant(販売者に連絡)」というリンク(サイト:ai-tiktok[.]top)

この「Contact the Merchant(販売者に連絡)」ボタンをクリックすると、「販売者アカウント」とやり取りするためのチャットウィジェットが開きます。この様子は、以下のショートビデオ内でご覧いただけます(視聴するには左下にある三角の「再生」アイコンをクリックしてください)

ai-tiktok[.]topでは、「販売者に連絡」する方法についての動画が用意されている

 

少なくとも一部のWebサイトでは効率の悪そうなフィッシングプロセスが配備されている一方で、このフィッシングネットワークは、一般的なEコマースフィッシングネットワークと似たような形で機能しているようです。

また同じTikTokサイト(ai-tiktok[.]top)に話を戻すと、「Register Your Shop(ショップの登録)」というオプションでは、IDカードの表・裏両面の画像をアップするよう求められます。これは、認証情報を入手しようとする試みの一部と言えそうです。

「Register Your Shop(ショップの登録)」オプション(サイト:ai-tiktok[.]top)

「Register Your Shop(ショップの登録)」オプション(サイト:ai-tiktok[.]top)

悪意あるTikTokショップでの、中国産チャットツールを介したカスタマーサポート

同TikTokサイト(ai-tiktok[.]top)のメニューバーには、わかりやすいところに「Online Customer Service(オンラインカスタマーサービス)」のリンクがあり、ここからchat.ssrchat[.]com/serviceへ飛ばされてユニークなチャットセッションIDが付与されます。

このサポートポータル(chat.ssrchat[.]com/service)では、脅威アクターがサイト訪問者とやり取りを行い、(詐取プロセスの中で)どのように購入を進めればいいかを指示します。

Silent Pushのアナリストは、こうしたサービスを見つけた際にはいつも、それが脅威アクター自身によって構築されたカスタマーサポートツールなのか、またはサードパーティのリソースが使われているのか、どちらなのかを確認するようにしています。

簡単な調査の結果、アナリストはssrchat[.]comが中国のカスタマーサポートツール「SaleSmartly」であることを確認しました。

ssrchat[.]com=中国のカスタマーサポートツール「SaleSmartly」

ssrchat[.]com=中国のカスタマーサポートツール「SaleSmartly」

ssrchat[.]comのWebサイトには、同プラットフォームを使用する中国企業の社名が多数羅列されています。どうやら、ssrchat[.]comは特定の中国組織にとって人気の選択肢のようです。そしてWebサイトのフッター部分には、「ICPライセンス」として知られる中国のIDが記されています。ICP(Internet Content Provider)ライセンスは、グレートファイアウォールを通じてデータを送信する中国本土のほぼすべての企業に登録が義務付けられているものです。

フッター部分に記されたssrchat[.]comのICPライセンス番号は、「20046039」です。

ssrchat[.]comのICPライセンス番号

ssrchat[.]comのICPライセンス番号

このネットワークが利用しているベンダーについてもっと詳しく知るためには、ICPライセンス番号でSilent PushのWebスキャナーデータに検索をかけて、同じICPライセンス番号を使っているほかの組織を見つけ出すという手法を使うことができます。

Webスキャナーのデータから、私たちは先ほどのICPライセンスにマッチするユニークなホストを21件発見しました。そのうちの1つであるstandard-software[.]cnというドメインは、自社製品としてSaleSmartlyのほか、adspower[.]netなどその他複数のプロダクトを掲げています。

つまり無数のEコマースフィッシングサイトを作成しているこの脅威アクターは、「AdsPower」という製品を提供している企業の中国産「チャットウィジェット」製品を使用しているようです。なおAdsPowerは、凍結(垢バン)の回避および複数ソーシャルメディアアカウントの管理のために用いられるブラウザです。

ここまでの調査結果を踏まえ、ssrchat[.]comのサービスを悪用するこれらのフィッシングアカウント(の可能性が高いもの)のテイクダウンをリクエストするのに時間を費やすという選択肢もありましたが、この親会社(ssrchat[.]com)についてさらに知り、同社が悪用を報告するための明白な手段を用意していないのを確認できたことで、私たちは時間を無駄にせずにすみました。テイクダウンの取り組みからは視点を移し、代わりに、このフィッシングネットワークで利用されているホスト、レジストラ、サードパーティ製品に着目することにしたのです。これらに関する情報の方が、後々テイクダウンに役立ちそうだと考えました。

まとめ買い価格での記載 – 企業をターゲットにする試みか

このフィッシングネットワークには、Amazonになりすましたサイトがいくつか存在します。その一例がamazonprime[.]idで、このサイトは必要最小購入数が500部という、まとめ買い用の商品のみを販売する作りになっています。したがって一回の購入につき最低でも75,000ドル近くかかる計算になりますが、ただのミスでこうなっているだけということも考えられますし、一方でこのサイトは、同脅威アクターが手がけたさらなるフィッシングサイトを見つけ出すための手段になるかもしれません。

最低500点をまとめ買いすることが購入の条件になっている商品の例(サイト:amazonprime[.]id)

最低500点をまとめ買いすることが購入の条件になっている商品の例(サイト:amazonprime[.]id)

AIZネットワークのサイトの多くが、フィッシングを仕掛ける場として「Live Chat」ウィジェットを用意

初期に見つかったドメイン群とともに、以下に示すピボットポイントを通じて発見された追加のドメイン数件を分析していく中で、このフィッシングネットワークが「Live Chat」というウィジェットを多用していることが明白になってきます。サイトのほとんどは商品ページ内で「Message Seller(販売者にメッセージ)」や「Contact the Merchant(販売者に連絡)」というリンクを使用しているものとみられるほか、多くのサイトが追加でサードパーティ製のチャットウィジェットもページ内に埋め込んでいました。

SaleSmartly社製の中国産チャットウィジェットを使うサイト以外では、多数のサイトがcrisp[.]chat製のチャットツール「Crisp」を使っているようです。

また、このフィッシングネットワークに属する別のサイト群、例えばWayfairになりすますwayfairmy[.]ccなどは、livechat[.]com(Live Chat)を使用しています。

Silent PushのチームはCrisp ChatとLive Chatへ連絡を取って詳しい情報を共有し、調査の実施を奨励したほか、場合によっては上記のような悪質なクライアントの凍結措置も検討するよう推奨しました。

すると、報告から数時間以内にCrisp Chatは調査を大幅にエスカレートさせ、このクライアントを凍結した上、Crisp Chatのサービスが悪用されているその他のサイトがないかを調べるという追加の措置も取りました。Silent Pushのチームは、Crisp Chatのチームの迅速かつ真摯な対応に感謝しています。

Live Chatからはまだフィードバックがありませんが、返答が得られた場合はすぐに本ブログ記事を更新し、その旨追記する予定です。

Stark Industries(PQ Hosting)によるテイクダウンが、同脅威アクターのさらなるインフラを暴き出す

Silent Pushによるホストとの協力への取り組みの一環として、当社のチームは、このフィッシングネットワーク内で上述したドメインをホストしているIPのうち、ある1件のIPに関する最初の手がかりをStark Industries(stark-industries[.]solutions)に送付しました。当該IPは、Stark Industriesのサービスを通じて登録されていたものです。

送付されたIPは30分もしないうちにテイクダウンされ、Stark Industriesは調査を開始することができたほか、当該アカウントおよび脅威アクターに紐付けられるさらなるインフラをテイクダウンすることにも成功しました。同社は合計34件の新たなIPをSilent Pushに送ってくれたのですが、これらの情報をもとに、当社はAIZの脅威アクターインフラへの理解をさらに深めていくことができました。

AIZの脅威アクターが手がけた、「AMLチェック」謳う暗号系フィッシングサイト

WebホストであるStark Industriesへの報告プロセスにおいて、この脅威アクターが用いるIPアドレス(45.144.30[.]184)がSilent Pushへ共有されました。同IPは、aml-check-wallet[.]comというドメインへマッピングされました。

Webスキャナーのクエリを実行したところ、このドメインが一貫して同じメタデータを使っていたことが確認できました。これにより、オリジナルのソースと同一のコンテンツを掲載するその他数十件のドメイン/ホストを新たに炙り出すことが可能になりました。

このネットワーク内の暗号資産業界を狙ったフィッシングサイトは、以下の例のような外観をしています。

このネットワークに属する暗号系フィッシングサイトの例:amlguards[.]com

このネットワークに属する暗号系フィッシングサイトの例:amlguards[.]com

パスコードの入力を促すフィッシングサイト

Stark Industriesが共有してくれたIPレンジの中の1つに、45.144.31[.]235というものがありました。ここでホストされるサイトには妙な一群があり、そのいくつかはvipmydealshopgo[.]xyzのように昔からよくある「ショッピング」の構造をしていたのですが、それ以外のstore-joo[.]orgやgroup-joo[.]org、global-joom[.]orgなどのサイトには、ユニークなフィッシングあるいは豚の屠殺詐欺体験へ繋がるであろうページがいくつか用意されています。あるサイトは「Please Input Pass Code(パスコードを入力してください)」というメッセージを表示しており、これらのサイトの目的に関する疑念を生じさせます

group-joo[.]orgというサイトでは、「Please Input Pass Code(パスコードを入力してください)」というメッセージが表示される

group-joo[.]orgというサイトでは、「Please Input Pass Code(パスコードを入力してください)」というメッセージが表示される

「MBN」を冠す暗号系フィッシングサイト

Stark Industriesから共有されたIPの中には、この脅威アクターがhaiwaidemosite[.]comというサイトをホストするために2024年10月に短期間だけ使用していたものがありました。同サイトのHTMLタイトルは、「MBN」となっていました。

こうした暗号資産関連のフィッシングサイトから成る巨大プールは、これらのサイトで使い回されているメタデータを通じて発見することが可能です。なりすましの対象としては、バイナンスやクラーケン、およびその他の一般的な暗号ブランドの数々が選ばれています。

同フィッシングネットワークに属する暗号資産系サイトの例:exchangeaaa[.]xyz

同フィッシングネットワークに属する暗号資産系サイトの例:exchangeaaa[.]xyz

サイト「Pantera Exchange」の暗号資産関連フィッシングキャンペーン

Stark IndustriesがシェアしてくれたあるIP上には、「pantera-exchange[.]com」など、「Pantera-Exchange」というHTMLタイトルを持つ複数のドメインが存在します。

これらのサイトは、先ほど紹介した「MBN」というHTMLタイトルを持つフィッシングサイトとほぼ同様の外観をしています。暗号資産ユーザーを狙ったこれと同一のメタデータを有するサイトは、数百件(重複なし)確認されました。

同フィッシングネットワーク内にある、ほぼ同じ見た目のサイトの例:pammvip[.]com

同フィッシングネットワーク内にある、ほぼ同じ見た目のサイトの例:pammvip[.]com

暗号系フィッシング「Exness」

Stark Industriesが共有してくれたまた別のIPは、ある小規模なドメイングループを発見するための出発点となってくれました。このグループに属するドメインの一例が、klo-ok[.]ccです。

このklo-ok[.]ccというサイトのメタデータは、同一ネットワーク内にあるその他の新しいサイトのものと類似しています。ここから、専有クエリを作成することによってまた別の十数件のユニークなホストへと調査を進めていくことが可能です。そのうちあるIPは、「暗号資産投資」に関する中国語(マンダリン)のライブWebサイトをホストしていますが、このサイトの機能にはいささか難点があります。

このIPは「暗号資産投資」に関する中国語(マンダリン)のライブWebサイトをホストしている

このIPは「暗号資産投資」に関する中国語(マンダリン)のライブWebサイトをホストしている

「Moomoo Financial」のフィッシングキャンペーン

Stark Industriesが提供してくれた、同脅威アクターに使われているさらに別のIPもまた、似たようなビジュアルのWebサイト群に紐付けられます。以下は、こうしたサイトの一例です。

  • m2stock[.]net
  • mioiocapitald[.]com
  • moomoccapital[.]com

いずれのサイトも現在はダウンしているようですが、まだライブだった際には以下のような外観を呈していました。

これらのサイトのビジュアルは、同一フィッシングネットワークに属するmsostock[.]netのビジュアルと類似していた

これらのサイトのビジュアルは、同一フィッシングネットワークに属するmsostock[.]netのビジュアルと類似していた

Aliexpressを装うドメインから、さらに大規模な小売業界向けフィッシングが暴かれる

StarkによってテイクダウンされたIPで、同脅威アクターが使っていたものの中には、Aliexpressになりすまそうとしたものと思われるspsailexpsess[.]comなどのドメインと紐付くIPもありました。

このspsailexpsess[.]comというサイトには独自のインジケーターが見受けられたため、これを起点に結果として追加で数百件もの小売業界を狙ったフィッシングサイトが発見されるに至りました。

ビットコインユーザーを狙ったサイトを糸口に、より大規模な暗号系フィッシングキャンペーンを暴く

また、Starkによってテイクダウンされ、当社へ共有されたIPの中には、ビットコインおよびその他の暗号トークンユーザーを標的とするWebサイト群と結び付くIPもあります。これらはおそらく、フィッシングや豚の屠殺詐欺用のサイトです。

具体的には、以下のようなサイトが見つかっています。

  • bitcoin-contract[.]vip
  • coinworld-online-exchange[.]cc

同脅威アクターが手がけるWebサイトやキャンペーンの多くと同様に、上記サイトには同アクター特有のテンプレートが使われており、それが複数サイトで使い回されています。これをもとに、大手暗号資産系ブランドの名を騙ろうとする多大な数のフィッシングサイトを発見することができるのに加え、当該テンプレートで作られた架空の暗号系ブランドと思われるものも見つけ出すことができます。

AIZの小売/暗号系フィッシングキャンペーン、追跡は今後も続く

Silent Pushの脅威研究者は、このアクターのインフラに変化がみられないか、観察およびモニタリングを引き続き行う予定です。新たな発見やTTPの変更があった場合には、直ちにSilent Pushのフィードへ反映します。

また、このような脅威に関する調査結果は、今後も法執行機関へ共有していく予定です。今回取り上げた脅威アクターについて、または小売や暗号業界に関わるその他のフィッシング詐欺について何か情報をお持ちの方は、ぜひ当社チームへの共有をご検討ください。

補足情報

私たちは引き続き、小売および暗号資産業界をターゲットとするフィッシングネットワーク「AIZ」の活動を追跡し、調査結果はフォローアップレポート内でセキュリティコミュニティへ報告します。

また、エンタープライズユーザーのみなさま向けにリリースするTLP: Amberレポートには、今回私たちがAIZネットワークを特定・探索するのに使用した具体的なクエリへのリンクが記載されています。そのうちいくつかは、OPSEC上の理由から本ブログへ掲載できなかった専有クエリです。

緩和策

Silent Pushは、AIZフィッシングネットワークに属するドメインはすべて、ある程度のリスクをもたらすものだと考えています。

アナリストは「Silent Push IOFAフィード」をすでに作成しており、ここではAIZフィッシングネットワークに関する「将来攻撃指標(IOFA:Indicators of Future Attack)」ドメインの部分的なリストをご覧いただけます。併せて、AIZに帰属する疑いのあるIPを記載したIOFAフィードも作成済みです。

Silent Push IOFAフィードは、エンタープライズ版サブスクリプションの一部としてご利用いただけます。エンタープライズユーザーの皆さまは、IOFAフィードのデータをご自身のセキュリティスタックへ取り込み、それぞれの検知プロトコルにこの情報を盛り込むことが可能です。あるいはこのデータは、Silent Push ConsoleおよびFeed Analyticsスクリーンを使って攻撃者インフラ全体をさらに調べる目的でもご利用いただけます。

コミュニティ版への登録を

Silent Pushのコミュニティ版は無料の脅威ハンティング・サイバー防衛プラットフォームで、多様な最新オフェンシブ/ディフェンシブ検索やWebコンテンツクエリ、エンリッチメント済みデータタイプを備えています。

無料アカウントへのサインアップはこちらからどうぞ。

将来攻撃指標(IOFA)

こちらは、AIZフィッシングネットワークのIOFAを羅列したサンプルリストです。リストの完全版は、エンタープライズユーザーの皆さまのみご利用いただけます。エンタープライズ版をお使いのお客様は、AIZネットワークのインフラを含むドメインフィードおよびIPフィードへアクセスすることが可能です。

  • adspower[.]net
  • ai-tiktok[.]top
  • amazon-ecommerce-shop[.]com
  • amazonprime[.]id
  • aml-check-wallet[.]com
  • amlguards[.]com
  • appstoreetsy[.]vip
  • bitcoin-contract[.]vip
  • chillivipstore[.]com
  • coinworld-online-exchange[.]cc
  • crisp[.]chat
  • cross-borderstore[.]com
  • ebay-i[.]shop
  • ebaymerchant[.]xyz
  • e-box[.]vip
  • etsy[.]one
  • etsyappstoreglobal[.]com
  • etsystore[.]org
  • etsyme[.]com
  • etsyoou[.]icu
  • etsyvipclub[.]xyz
  • exchangeaaa[.]xyz
  • global-joom[.]org
  • group-joo[.]org
  • haiwaidemosite[.]com
  • haiwaisite666[.]com
  • inretsyvipclubapp[.]com
  • jd-shopvnvip[.]top
  • jngfhjiu56u7[.]top
  • klo-ok[.]cc
  • livechat[.]com
  • luxury-collection[.]cc
  • m2stock[.]net
  • mgciscoin[.]co
  • midjornieyskilload[.]com
  • miravia88888@gmail[.]com
  • mkgmailgo[.]com
  • moomoccapital[.]com
  • msostock[.]net
  • officialjunglee[.]com
  • ozatchenum[.]com
  • pammvip[.]com
  • pantera-exchange[.]com
  • snaspshopping[.]com
  • spsailexpsess[.]com
  • ssrchat[.]com
  • standard-software[.]cn
  • store-joo[.]org
  • tik-tokvnshop[.]net
  • vipetsyappshop[.]cc
  • vnbestbuy[.]store
  • wayfairmy[.]cc
  • xbtce-exchange[.]xyz

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ