2019年12月30日、Microsoftは北朝鮮関係とみられるサイバー犯罪グループが保有していた50ドメインの差し止め訴訟を起こしたことをブログを通じて発表しました。日本もターゲットに含まれており、国内メディア*1でも報じられています。ここでは関連する情報をまとめます。
取り組みは今回で4例目
Microsoftは次の記事で今回の取り組みについて発表。
blogs.microsoft.com
記事中では次の内容が言及されている。
- 今回対象となったのは「Thallium」としてMSが識別しているグループで、背後に北朝鮮が関連しているとみている。
- このグループが狙ったのは大半がアメリカ、韓国、日本。政府、シンクタンク、大学、人権活動、核拡散問題等に関連する組織、人物が対象となっていた。
- この取り組みは今回で4例目。過去に中国(Barium)、ロシア(Strontium)、イラン(Phosphorus)を対象とした法的措置を行っている。
Thalliumの攻撃手口
- 攻撃手法はスピアフィッシングによりオンラインアカウントを通じて組織へ侵入し、ネットワーク内の機密情報を窃取するもの。
- スピアフィッシングに用いたメールなどに今回差し止め対象となったドメインが使用されていた。
- 典型事例でも紹介されるようなアルファベット文字を偽装する手口。紹介されている事例としては「r」と「n」を使って「m」に見せるようにしていた。
- アカウント侵害に成功すると、そのアカウントの電子メール、連絡帳、予定表などを確認する他、Thallium宛に送出するメール転送設定も行われる。
- 転送設定が有効となっている場合、パスワードの変更を行った後もメールを盗み見られ続けてしまう。
- マルウエアによるシステム侵害も行われており、「BabyShark」「KimJongRAT」という名前のRATが既に知られている。
Microsoftが差し止めた50ドメイン
- 今回の訴訟で裁判所へ提出された「APPENDIX A」に対象となった50ドメインとその登録情報の一覧が掲載されている。
- ターゲットとなった国のメディア、SNS、クラウドサービスなどのURLに似せた文字列でドメインがとられている。
関連するセキュリティ関係者らの報告
今回MSが差し止め対象としたドメイン等から過去に報告されていたレポートが複数存在する。
- Cisco NavRAT Uses US-North Korea Summit As Decoy For Attacks In South Korea (2018年5月31日)
- PaloAlto New BabyShark Malware Targets U.S. National Security Think Tanks (2019年2月22日)
- ESTSecurity 한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개 (2019年4月17日)
- Anomali Suspected North Korean Cyber Espionage Campaign Targets Multiple Foreign Ministries and Think Tanks (2019年8月21日)
- CERTFR Objet: Campagne de récupération d’identifiants de connexion : infrastructure malveillante ciblant des institutions gouvernementales et des entités stratégiques (2019年9月2日)
- これらのレポートから、今回差し止めの対象となったドメイン以外にも複数の関連するドメインが存在している。
- ドメイン名の登録メールアドレスやIPアドレス、レジストラなどに日本国内のサービスが攻撃インフラに利用されていた。
- 当時国内でもこれらの活動の一端が観測されていた。
国内のサーバにホストされた yahoo .com の #フィッシングサイト です。
— tike (@tiketiketikeke) 2019年8月8日
login[.]yahoo[.]app-support[.]work
157.7.184[.]15 AS7506 (GMO Internet,Inc)
フィッシング用途と思われる複数のサブドメインが同一のIPアドレスに紐づいていた形跡がありました。 pic.twitter.com/XCppcQZ1zH
(参考)インディケーター情報
- Microsoftが差し止めを行った50ドメイン
OFFICE356-US.ORG SMTPER.ORG SEOULHOBI.BIZ READER.CASH HOTRANALL.COM SEC-LIVE.COM RNAII.COM RNAILM.COM SECRITYPROSCESSING.COM SECURITEDMODE.COM SECURYTINGMAIL.COM SET-LOGIN.COM USRCHECKING.COM PW-CHANGE.COM APP-WALLET.COM BIGWNET.COM BITWOLL.COM CEXROUT.COM CHANGE-PW.COM CHECKPROFIE.COM CLOUDWEBAPPSERVICE.COM CTQUAST.COM DATAVIEWERING.COM DAY-POST.COM DIARY-POST.COM DOCUMENTVIEWINGCOM.COM DOVVN-MAIL.COM DOWN-ERROR.COM DRIVECHECKINGCOM.COM ENCODINGMAIL.COM FILES-DOWNLOAD.NET FILINVESTMENT.COM FIXCOOL.NET FOLDERSHAREING.COM GOLANGAPIS.COM HANRNAII.NET LH-LOGINS.COM LOGIN-USE.COM MAIL-DOWN.COM MATMIHO.COM MIHOMAT.COM NATWPERSONAL-ONLINE.COM NIDLOGIN.COM NID-LOGIN.COM NIDLOGON.COM DROG-SERVICE.COM PIECEVIEW.CLUB MAII.INFO COM-SERVICEROUND.INFO REVIEWER.MOBI
- 裁判所提出の資料中に記載されていた登録メールアドレス
tang_guanghui@hotmail.com pigcoin2020@hotmail.com jiahuzong@hotmail.com bitcoin024@hanmail.net bitcoin025@hanmail.net satoshiman0088@gmail.com noreplygooqlesender@gmail.com wusongha03@gmail.com rninchurl@daum.net tiger199392@daum.net okonoki_masao@yahoo.co.jp
- MS提出したもの以外に関連のある登録メールアドレス(CERT-FR調査より)
ringken1983@gmail.com dragon1988@india.com 2014sunlei@india.com zongjiahu@yahoo.com akita_hanya@yahoo.co.jp kingsize2000_hi@yahoo.co.jp pig_king1@yahoo.co.jp satocsa1020@yahoo.co.jp
- ドメインから引けたIPアドレス(CERT-FR調査より)
157.7.184.11 157.7.184.12 157.7.184.13 157.7.184.14 157.7.184.15 157.7.184.16 157.7.184.17 157.7.184.19 157.7.184.21 157.7.184.22 157.7.184.23 157.7.184.25 157.7.184.26 157.7.184.27 157.7.184.30 157.7.184.35 157.7.184.36 157.7.184.37
- 登録メールアドレスから引けた別のドメイン(piyokango調査より)
ahooc.com alive-user.work alone-service.work app-design.club app-house.online app-support.work ayahoo.work client-mobile.work coin-info.site com-main.work com-security.pw dauurn.net doc-view.work dounn.net etherwallet.pw grnaeil.com gstaticstorage.com helpnaver.com host-key.work hotrnall.co iinaver.com imap-login.com inbox-mail.work inbox-yahoo.com lh-logs.com lhyahoo.pw local-link.work login-confirm.work login-history.pw login-sec.com mai1.info maingoogie.com maingoogle.com main-line.work mobile-device.site naerver.com old-version.work page-view.work phlogin.com protect-mail.work protect-main.site retry-confirm.com service-kind.site set-login.com share-check.site smail-live.work srnbc-card.com sub-state.work take-token.pw user-accounts.net view-line.work wallet-vahoo.com web-line.work web-online.work web-state.work yalnoo.com yrnall.com
更新履歴
- 2020年1月8日 AM 新規作成
*1:MS、北朝鮮傘下?50ドメイン差し止め…サイバー攻撃に関与,読売新聞,2019年12月31日