2015年7月23日、プライスウォーターハウスクーパースが特定の組織のドメインを模した諜報活動が行われていると注意喚起を行いました。ここではこの活動に関する情報をまとめます。
PwCの注意喚起
ScanBoxに関する情報
PwCの注意喚起の他、次のサイトで解説されています。攻撃ベクタはPwCが注意喚起を行っているメールの他、Webサイトに埋め込まれるケースも確認されているようです。
- Scanbox: A Reconnaissance Framework Used with Watering Hole Attacks | AlienVault
- セキュリティ研究センターブログ: 「Scanbox」が日本を偵察中
- Javascript间谍脚本分析:Web恶意程序Scanbox源码分析与演示 - FreeBuf.COM | 关注鄢客与极客
ScanboxのJSコード
「Scanbox Javascript」と検索するとサンプルコードが出てくるぐらい出回っている模様。試しにJavaScriptをそのままVTに放り投げてみたところ2/55という結果でした。
検出確認されるソフトウェア
Scanboxにはアクセスした端末にインストールされているソフトウェアを確認する機能があります。大半はCVE-2013-7331の脆弱性を用いて確認していると思われます。
JavaScriptの変数、定数から次のソフトウェアを確認していると推測でき、主にアンチウィルスソフトを対象に確認が行われるようです。
| 種類 | 確認対象ソフト・ベンダ |
|---|---|
| アンチウィルスソフト | Avira Bitdefender McAfee AVG Dr.Web Microsoft Security Essential Sophos F-Secure Kaspersky Symantec antiyfx ESTsoft Fortinet ViRobot4 COMODO a-squared IKARUS Nprotect TrendMicro Outpost AhnLab V3 ESET F PROT Norman Sunbelt QuickHeal Immunet JiangMin PC Tools Rising BkavHome SUPERAntiSpyware eScan Bit9 EMET 4.1〜5.0 |
| ユーティリティ | Adobe FlashPlayer WinRAR winzip 7z iTunes Java |
| 文書ソフトウェア | Microsoft Office Adobe Reader |
| サーバー | SQLServer Vmware Server/Client SharePoint |
模倣されているドメイン
PwC発表の内容を元に、VT等の情報より次のドメインを確認しています。
| 模倣されたと思われる組織 | 模倣ドメイン |
|---|---|
| accounts[.]googlecontent[.]cc | |
| エルイン京都 | booking[.]elinn-kyoto.com[.]mailsecure.cc |
| 自由民主党 | www[.]jimin[.]jp[.]mailsecure[.]cc |
| 総合研究開発機構(NIRA) | webmail[.]nira[.]or[.]jp[.]symantecse[.]com |
| 三菱重工業 | account[.]mhi[.]co.jp.mailsecure[.]cc |
| NTTドコモ | accounts[.]nttdocomo[.]mailsecure[.]cc nttdocomo[.]mailsecure[.]cc |
これら全て157[.]7[.]221[.]152に割り当てられていましたが、既にテイクダウンされたのかこのIPアドレスへ7月28日時点でアクセスは出来ませんでした。
謝辞
このまとめは次の方の調査協力を得て作成しています。ありがとうございます。
- AJさん
更新履歴
- 2015年7月28日 PM 新規作成
