概要
2020年8月以降,プルーフプルーフのリサーチャーは,亚马逊日本のクレデンシャル(认证认证icitical)までまでかのぼります。メールメールは,亚马逊日本を装配,诚信者に「アカウント所所権确认确认や确认支払い支払い情情支払い支払い支払い情アカウントのためためにアカウントアカウント见直すようていいい受受いいメッセージメッセージのリンクするする,亚马逊を装备たクレデンシャルののランディングページにされれれれ,クレデンシャル(认证认证icitical),个人识别识别ication(pii),クレジットカード番番などが收集ます。メッセージは,日本の组织と日本に拠点がある组织の両方に送られています。このページは,日本のの信者のみクレデンシャルフィッシングページにされるににににににににににににににににににれれれていい设定されれてい
亚马逊のような人気ががクレデンシャルフィッシングででされることはよくますしかし量のキャンペーンのそのの量量ののは,のの亚马逊ブランドをテーマにた攻撃活とは桁した攻撃�もあり,Emotetのメッセージ量に匹敵します。
ルアー(おとりテーマ)とランディングページ
メッセージは,受信者の情報を更新する必要があることや,アカウントがロックされていることを示唆するような内容で,精巧に作られた日本語のルアー(おとりテーマ)です。
「amazon.co.jpアカウント所所のの明(名称,その他个人杂志)「1)
“お支払い方法の情報を更新”(図2)
“アカウントがロックされたので,ご注意下さい”(図3)
図1:ルアー件名“Amazon.co.jpアカウント所有権の証明(名前,その他個人情報)の確認”
「2:ルアールアー名目「お支払い方法の情更新」
図3:ルアー件件「がロックさたので,ご注意下载「
メッセージに含まれる亚马逊のロゴなどの画像は,無料の画像ホスティングサービスから直にリンクされており,複数のキャンペーンで同じ画像のURLが確認されています。
これらのメッセージは亚马逊からからのであることこと装装っいますが,初さものはあまりうまく伪さてないメールアドレスからましたたたました。
rmlirozna [@] pw [。] com
fwgajk [@] zfpx [。] cn
信息[@]bnwuabd。xyz
直流[@]usodeavp。com
しかし2020年10月初旬には,送付元アドレスをある程度正当なものに見せようとする動きが見られるようになりました。
amaozn [@] ama2on(。)
Accout-更新[@] Amazon [。] Co.JP
帐户更新[@]亚马逊[。] com
管理员[@]亚马逊邮件[。]高尔夫
メッセージのURLを調べると,日本亚马逊が使用している認証プロトコルであるOpenIDのパラメータが含まれていることがわかります(図4)。これらのURLはユーザーをOpenIDの実装に誘導するものではないようですが,URLの文字列に含まれるパラメータは行為に正当性を与えるために存在しています。
いくつかのurlにはプレースホルダー値とれるものが含まれれて,メッセージのの信がたた,対応対応値値利用できできたを示唆してい(図4)。
「4:「breceiver_address」「Brand_text」「」のの数が含またたた
また,いくつかのURLでは,“a@b.c”というプレースホルダーのメールアドレスと思われるものが使用されていることも確認されました(図5)。他のURLでは,受信者のメールアドレスがこのパラメータを入力しています。
図5:変数のかわりに“a@b.c”とOpenIDの軌跡が含まれたURL
ユーザーがクリックすると,メッセージ内のジオフェンスリンクは,偽装した亚马逊日本のログインページ(図6)へ誘導します。ユーザーが日本国外にいると判断された場合は,実際の亚马逊日本のログインページに誘導します。
図6:伪装した亚马逊日本のログインページ
亚马逊のユーザー名とパスワードで”ログイン”すると,ユーザーは住所,誕生日,電話番号などのさまざまな個人情報を収集するフォームに移動します(図7)。
図7:ユーザーの国名,氏名,誕生日,郵便番号,都道府県,住所,会社名(任意),電話番号を要求する情報フィッシングランディングページ
このフォームでは,同じサイトでホストされているスクリプトを用いて,クレジットカード番号が正当なものかを簡単にチェックする機能と,サードパーティのサービスへのAPIコールを介して郵便番号をチェックし,それらの情報も収集しています(図図8日9)。興味深いことに,我々が提供した郵便番号は正規の日本の郵便番号ではないものでしたが,情報を送信してもエラーにはなりませんでした。
図8:最初に入力したクレジットカード番号(間違った長さのランダムな数字列)が無効であることを示すエラー
図9:傍受したトラフィックは,郵便番号認証のための”zipcloud.ibsnet[…]co.jp”への呼び出しと,クレジットカード番号認証のための”/美联社/动作/验证?cxdi = "への呼び出しを示しています。
有效な情iciticalを诚信し后,ユーザーの情icitichががされれささ告げ告げようになっことをられられられられられられられられ,亚马逊日本のサイト(亚马逊.Co [...] JP)にリダイレクトされます。
図10:アカウントにアクセスできるようにたことをユーザーに通道するするするするのの
eメールメッセージの量の推移
図11:2020年8月~ 10月現在のメッセージ量
プルーフポイントは8月中旬以降,これらのメッセージを追跡していますが,私たちは2020年6月の時点で,同じ攻撃者に関係していると思われる活動を確認しています。メッセージは日本語で書かれており,ランディングページは日本のIPにジオフェンスしていますが,受信者や業種において,日本に拠点があることや日本で事業展開していること以外に明確なパターンは見られません。8月下旬から9月にかけて観測された1日のメッセージ量のゆるやかな直線的な軌跡を考えると,今後数ヶ月にわたってメッセージ量が増加し続ける可能性があります。
| 期间 | 1日あたりの平均メッセージ量 |
| 8月(8/18-8 / 30) | 122,000 |
| 9月 | 424000年 |
| 10月現在 | 750,000. |
攻撃インフラ
通常,クレデンシャルフィッシングのランディングページは,IPアドレスの後に”/美联社/ signinが続きます:
hxxp: / / 103.192.179[] 54 /美联社/ signin
IPアドレスアドレスの代わり代わりにドメインが使れるれることこともありませ:
00 pozrjbpm xyz /美联社/ signin。(。
攻撃者はipアドレスアドレス再利用するのではなく,キャンペーンキャンペーンに新闻IPアドレスアドレス采采倾向があるため何のキャンペーンまたいで何何ものアドレス使使でています.IPアドレスいます.IPアドレス様々な自由システムに属しており,地域やプロバイダーにおける明显なパターンはありん。
図12:2020年8月から10月までの间にルアーでさたipアドレスアドレス自律(AS)名トップ10
使用されているドメインは“* .xyz”または“* . cn”のTLD(トップレベルドメイン)で,複数のキャンペーンにまたがって観測されているものもあります. . xyzドメインはGoDaddyを通じて登録されており,* . cnドメインは阿里云计算有限公司(万网)の(阿里巴巴云计算)スポンサーレジストラが存在します。
8月30日~ 9月5日の攻撃キャンペーンランディングページのドメイン情報
| ドメイン | 作成日 | 登録者の詳細情報 |
| 00pozrjbpm [。] XYZ | 2020-04-24 | 注册人州/省:翔帮 |
| 1 mmmms2jy8 [] xyz | 2020-06-14 | 注册人州/省:翔帮 |
| 4lz1qen0ls [。] xyz | 2020-06-14 | 注册人州/省:翔帮 |
| 5b0rnizmhn [。] XYZ | 2020-04-24 | 注册人州/省:翔帮 |
ドメインの登録者データの多くは,私たちがチェックした時点では編集されていましたが,“作成日”といくつかの登録者詳細フィールドに共通点があることに気付きました。
9月6日~ 12日の攻撃キャンペーンランディングページのドメイン
| ドメイン | 作成日 | 登録者の詳細情報 |
| 00pozrjbpm [。] XYZ | 2020-04-24 | 注册人州/省:翔帮 |
| jiingkou [。] cn | 2019-09-20 | 注册人:王帅国 |
| Enjinchang [。] CN | 2019-09-19 | 注册人:王帅国 |
| juhaicheng。cn | 2019-09-20 | 注册人:王帅国 |
| GetOngliao [。] CN | 2019-09-20 | 注册人:王帅国 |
8月30日から9月5日のキャンペーンで再利用され00pozrjbpm [。] XYZを除けば,9月6日から12日ののドメインは共ののを持っています。と同様に,作物日と登录者情,これらが何らか形でさらにている可性がれれれますますますますますますますます。さらに,rxbnn3 [@] 163 [...] com「163 [...] COM」は大量ののドメインドメイン登录者あり,このこのは,この公开时点で251ののドメイン登录者の连络先として表示されていい先としての「rxbnn3[@] 163 [...] com「163 [...] com「に连するするドメイン加入て,このメールにはドメイン生成アルゴリズム(DGA)に似たドメインが多数リンクされています。
swwkpe [。] cn
lmkafwgi [。] cn
pdscmkq。cn
awsmgrc [。] cn
結論
亚马逊ブランドブランド一般的に,クレデンシャル(认证情icitical)を窃取しようとする攻撃によってなりすまさてています,これらのキャンペーンのと継続性,亚马逊をテーマにしたの攻撃活攻撃と桁の攻撃攻撃多重ものとなっていますセット,ランディングページ,およびおよびににににメッセージはのしボットによってわれいる可性あるわれ可性がこと示してい性さらにを示してますさらにことをててますさらにことをてますますさらに,自动化されていないオペレーションで时々见られるような,周末のメッセージ量のあきらかな停滞はありません。これが実际にボットネットによって実行されている场合,メッセージ量がすぐに减少することはありません。攻撃者は,その使用に段阶的な変更変更を加入ことが多く,异なるブランドやわずか异なる异なる情の收集要素は,この攻撃者にとって今后カカのうちにな転换点と可口性あります転换と可口性がます。
国际奥委会的报告
| 国际奥委会 | 国际奥委会类型 | 描述 |
| HXXP://182.16.26 [。] 194 / ap / signin | URL | 亚马逊日本凭证Phish着陆页 |
| hxxp: / / 23.133.5[] 144 /美联社/ signin | URL | 亚马逊日本凭证Phish着陆页 |
| hxxp: / / 43.249.30[] 212 /美联社/ signin | URL | 亚马逊日本凭证Phish着陆页 |
| 00 pozrjbpm xyz /美联社/ signin。(。 | URL | 亚马逊日本凭证Phish着陆页 |
| jiyingkou cn/ap/signin。 | URL | 亚马逊日本凭证Phish着陆页 |
| Enjinchang [。] cn / ap / signin | URL | 亚马逊日本凭证Phish着陆页 |
订阅校对点博客