piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

PwCが注意喚起した特定組織の模倣ドメインを調べてみた

2015年7月23日、プライスウォーターハウスクーパースが特定の組織のドメインを模した諜報活動が行われていると注意喚起を行いました。ここではこの活動に関する情報をまとめます。

ScanBoxに関する情報

PwCの注意喚起の他、次のサイトで解説されています。攻撃ベクタはPwCが注意喚起を行っているメールの他、Webサイトに埋め込まれるケースも確認されているようです。

ScanboxのJSコード

「Scanbox Javascript」と検索するとサンプルコードが出てくるぐらい出回っている模様。試しにJavaScriptをそのままVTに放り投げてみたところ2/55という結果でした。

検出確認されるソフトウェア

Scanboxにはアクセスした端末にインストールされているソフトウェアを確認する機能があります。大半はCVE-2013-7331の脆弱性を用いて確認していると思われます。
JavaScriptの変数、定数から次のソフトウェアを確認していると推測でき、主にアンチウィルスソフトを対象に確認が行われるようです。

種類 確認対象ソフト・ベンダ
アンチウィルスソフト Avira
Bitdefender
McAfee
AVG
Dr.Web
Microsoft Security Essential
Sophos
F-Secure
Kaspersky
Symantec
antiyfx
ESTsoft
Fortinet
ViRobot4
COMODO
a-squared
IKARUS
Nprotect
TrendMicro
Outpost
AhnLab V3
ESET
F PROT
Norman
Sunbelt
QuickHeal
Immunet
JiangMin
PC Tools
Rising
BkavHome
SUPERAntiSpyware
eScan
Bit9
EMET 4.1〜5.0
ユーティリティ Adobe FlashPlayer
WinRAR
winzip
7z
iTunes
Java
文書ソフトウェア Microsoft Office
Adobe Reader
サーバー SQLServer
Vmware Server/Client
SharePoint

模倣されているドメイン

PwC発表の内容を元に、VT等の情報より次のドメインを確認しています。

模倣されたと思われる組織 模倣ドメイン
Google accounts[.]googlecontent[.]cc
エルイン京都 booking[.]elinn-kyoto.com[.]mailsecure.cc
自由民主党 www[.]jimin[.]jp[.]mailsecure[.]cc
総合研究開発機構(NIRA) webmail[.]nira[.]or[.]jp[.]symantecse[.]com
三菱重工業 account[.]mhi[.]co.jp.mailsecure[.]cc
NTTドコモ accounts[.]nttdocomo[.]mailsecure[.]cc
nttdocomo[.]mailsecure[.]cc

これら全て157[.]7[.]221[.]152に割り当てられていましたが、既にテイクダウンされたのかこのIPアドレスへ7月28日時点でアクセスは出来ませんでした。

謝辞

このまとめは次の方の調査協力を得て作成しています。ありがとうございます。

  • AJさん

更新履歴

  • 2015年7月28日 PM 新規作成