piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Microsoftが差し止めしたサイバー犯罪グループThalliumの50ドメインについてまとめてみた

フィッシング マルウェア感染

2019年12月30日、Microsoftは北朝鮮関係とみられるサイバー犯罪グループが保有していた50ドメインの差し止め訴訟を起こしたことをブログを通じて発表しました。日本もターゲットに含まれており、国内メディア*1でも報じられています。ここでは関連する情報をまとめます。

取り組みは今回で4例目

Microsoftは次の記事で今回の取り組みについて発表。
blogs.microsoft.com
記事中では次の内容が言及されている。

  • 今回対象となったのは「Thallium」としてMSが識別しているグループで、背後に北朝鮮が関連しているとみている。
  • このグループが狙ったのは大半がアメリカ、韓国、日本。政府、シンクタンク、大学、人権活動、核拡散問題等に関連する組織、人物が対象となっていた。
  • この取り組みは今回で4例目。過去に中国(Barium)、ロシア(Strontium)、イラン(Phosphorus)を対象とした法的措置を行っている。
Thalliumの攻撃手口

f:id:piyokango:20200108063610p:plain
MSが例示したThalliumのスピアフィッシングメール(訴訟資料より引用)

  • 攻撃手法はスピアフィッシングによりオンラインアカウントを通じて組織へ侵入し、ネットワーク内の機密情報を窃取するもの。
  • スピアフィッシングに用いたメールなどに今回差し止め対象となったドメインが使用されていた。
  • 典型事例でも紹介されるようなアルファベット文字を偽装する手口。紹介されている事例としては「r」と「n」を使って「m」に見せるようにしていた。
  • アカウント侵害に成功すると、そのアカウントの電子メール、連絡帳、予定表などを確認する他、Thallium宛に送出するメール転送設定も行われる。
  • 転送設定が有効となっている場合、パスワードの変更を行った後もメールを盗み見られ続けてしまう。
  • マルウエアによるシステム侵害も行われており、「BabyShark」「KimJongRAT」という名前のRATが既に知られている。

Microsoftが差し止めた50ドメイン

  • 今回の訴訟で裁判所へ提出された「APPENDIX A」に対象となった50ドメインとその登録情報の一覧が掲載されている。
  • ターゲットとなった国のメディア、SNS、クラウドサービスなどのURLに似せた文字列でドメインがとられている。

関連するセキュリティ関係者らの報告

今回MSが差し止め対象としたドメイン等から過去に報告されていたレポートが複数存在する。

  • これらのレポートから、今回差し止めの対象となったドメイン以外にも複数の関連するドメインが存在している。
  • ドメイン名の登録メールアドレスやIPアドレス、レジストラなどに日本国内のサービスが攻撃インフラに利用されていた。
  • 当時国内でもこれらの活動の一端が観測されていた。

(参考)インディケーター情報

  • Microsoftが差し止めを行った50ドメイン
OFFICE356-US.ORG
SMTPER.ORG
SEOULHOBI.BIZ
READER.CASH
HOTRANALL.COM
SEC-LIVE.COM
RNAII.COM
RNAILM.COM
SECRITYPROSCESSING.COM
SECURITEDMODE.COM
SECURYTINGMAIL.COM
SET-LOGIN.COM
USRCHECKING.COM
PW-CHANGE.COM
APP-WALLET.COM
BIGWNET.COM
BITWOLL.COM
CEXROUT.COM
CHANGE-PW.COM
CHECKPROFIE.COM
CLOUDWEBAPPSERVICE.COM
CTQUAST.COM
DATAVIEWERING.COM
DAY-POST.COM
DIARY-POST.COM
DOCUMENTVIEWINGCOM.COM
DOVVN-MAIL.COM
DOWN-ERROR.COM
DRIVECHECKINGCOM.COM
ENCODINGMAIL.COM
FILES-DOWNLOAD.NET
FILINVESTMENT.COM
FIXCOOL.NET
FOLDERSHAREING.COM
GOLANGAPIS.COM
HANRNAII.NET
LH-LOGINS.COM
LOGIN-USE.COM
MAIL-DOWN.COM
MATMIHO.COM
MIHOMAT.COM
NATWPERSONAL-ONLINE.COM
NIDLOGIN.COM
NID-LOGIN.COM
NIDLOGON.COM
DROG-SERVICE.COM
PIECEVIEW.CLUB
MAII.INFO
COM-SERVICEROUND.INFO
REVIEWER.MOBI
  • 裁判所提出の資料中に記載されていた登録メールアドレス
tang_guanghui@hotmail.com
pigcoin2020@hotmail.com
jiahuzong@hotmail.com
bitcoin024@hanmail.net
bitcoin025@hanmail.net
satoshiman0088@gmail.com
noreplygooqlesender@gmail.com
wusongha03@gmail.com
rninchurl@daum.net
tiger199392@daum.net
okonoki_masao@yahoo.co.jp
  • MS提出したもの以外に関連のある登録メールアドレス(CERT-FR調査より)
ringken1983@gmail.com
dragon1988@india.com
2014sunlei@india.com
zongjiahu@yahoo.com
akita_hanya@yahoo.co.jp
kingsize2000_hi@yahoo.co.jp
pig_king1@yahoo.co.jp
satocsa1020@yahoo.co.jp
  • ドメインから引けたIPアドレス(CERT-FR調査より)
157.7.184.11
157.7.184.12
157.7.184.13
157.7.184.14
157.7.184.15
157.7.184.16
157.7.184.17
157.7.184.19
157.7.184.21
157.7.184.22
157.7.184.23
157.7.184.25
157.7.184.26
157.7.184.27
157.7.184.30
157.7.184.35
157.7.184.36
157.7.184.37
  • 登録メールアドレスから引けた別のドメイン(piyokango調査より)
ahooc.com
alive-user.work
alone-service.work
app-design.club
app-house.online
app-support.work
ayahoo.work
client-mobile.work
coin-info.site
com-main.work
com-security.pw
dauurn.net
doc-view.work
dounn.net
etherwallet.pw
grnaeil.com
gstaticstorage.com
helpnaver.com
host-key.work
hotrnall.co
iinaver.com
imap-login.com
inbox-mail.work
inbox-yahoo.com
lh-logs.com
lhyahoo.pw
local-link.work
login-confirm.work
login-history.pw
login-sec.com
mai1.info
maingoogie.com
maingoogle.com
main-line.work
mobile-device.site
naerver.com
old-version.work
page-view.work
phlogin.com
protect-mail.work
protect-main.site
retry-confirm.com
service-kind.site
set-login.com
share-check.site
smail-live.work
srnbc-card.com
sub-state.work
take-token.pw
user-accounts.net
view-line.work
wallet-vahoo.com
web-line.work
web-online.work
web-state.work
yalnoo.com
yrnall.com

更新履歴

  • 2020年1月8日 AM 新規作成

*1:MS、北朝鮮傘下?50ドメイン差し止め…サイバー攻撃に関与,読売新聞,2019年12月31日