Scanbox Watering Holeはパキスタンとチベット政府のウェブサイト訪問者をターゲットにしています

ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

本レポートでは、2019年3月上旬にパキスタン政府部門と中央チベット政府を標的とした最近のScanboxキャンペーンについて概説しています。 Insikt Groupの研究者は、Recorded Future(R) Platform、Shodan、Farsight Security DNS、サードパーティのネットワークメタデータ、および一般的なOSINT技術からのデータを利用しました。

このレポートは、サイバースパイ活動家が戦略的なWeb侵害を利用してネットワーク偵察を行うことによってもたらされる脅威を理解しようとしているネットワーク防御者にとって最も興味深いものとなるでしょう。

Executive Summary

2019年3月上旬、Recorded FutureのInsikt Groupは、パキスタン移民パスポート総局(DGIP)のウェブサイトへの訪問者を標的とする戦略的なウェブ侵害と、中央チベット政府(CTA)の公式ウェブサイトのなりすましの2つの別々のScanboxキャンペーンを特定しました。 どちらの場合も、攻撃者はWebサイト訪問者のデバイスをプロファイリングして、後続の侵入を行うことを意図していた可能性があります。

Insikt Groupは、この活動を強調して、標的となるコミュニティの保護を可能にし、中国の国家支援型脅威アクターが広く使用しているScanboxなどのインメモリ偵察フレームワークがもたらすリスクに対する認識を高めることを目的としています。

背景

2014年初頭に初めて注目されたScanboxは、Anthemの侵害や Forbesの水飲み場 型攻撃など、注目を集めるいくつかの侵入で使用され、Leviathan(APT40、 Temp.Periscope)、 LuckyMouse (TG-3390、Emissary Panda、Bronze Union)、 APT10 (menuPass、Stone Panda)、 APT3 (Pirpi、Gothic Panda)など、中国を拠点とする脅威アクターによって広く採用されています。

Scanboxは、攻撃者が侵害されたWebサイトへの訪問者を追跡し、キーロギングを実行し、後続の侵害を可能にするために使用できるデータを収集できるようにする偵察フレームワークです。 また、標的のホストに二次的なマルウェアを配信するために 変更されたことも報告 されています。 JavascriptとPHPで記述されたScanboxデプロイメントは、マルウェアをホストデバイスにダウンロードする必要性を排除します。

2014年以降のScanboxの利用状況をまとめました。 (出典:Recorded Future)

脅威分析

パキスタン DGIP Scanbox インスタンス

On March 4, 2019, Insikt Group identified that the online passport application tracking system on Pakistan’s DGIP website (tracking.dgip.gov[.]pk) was compromised by attackers who had deployed Scanbox code onto the page. Website visitors were redirected as a result of the strategic web compromise (SWC), also known as watering holes, to an attacker-controlled Scanbox server hosted on Netherlands IP 185.236.76[.]35, enabling the attackers to deploy Scanbox’s wide array of functionality.

このScanboxデプロイメントの詳細については、 Trustwaveが最近公開したブログを参照してください。

パキスタンのDGIPの追跡システム用のScanboxに感染したWebポータル。

中央チベット行政スキャンボックスインスタンス

Insikt Groupの研究者は、Recorded Futureプラットフォーム内の新しいドメイン登録がtibct[.]網。 このドメインは、2019年3月6日に初めて登録されました。

Recorded Futureポータルに記載されている新しいドメイン登録イベントと、タイポスクワットリスクルールのトリガー。

分析の結果、このサイトは、以下に示すように、CTAの正当なウェブサイトとコンテンツの類似性を示しました。

なりすましCTAウェブサイトtibct[.]網 (左)、および正規のCTAウェブサイトtibet[.]網 (右)。

Subsequently, on March 7, 2019, we identified that the tibct[.]net webpage had been modified by the attackers to incorporate malicious JavaScript that redirected visitors to a Scanbox server hosted on oppo[.]ml (load-balanced across Cloudflare IPs 104.18.36[.]192, 104.18.37[.]192, and 2606:4700:30::6812[:]24c0).

なりすましドメインtibct[.]網。

訪問者はおそらく公式CTAウェブサイト、tibet[.]網 だまされてtibct[.]網 おそらく、スピアフィッシングの電子メールのリンクを介して、その後Scanbox C2ドメインoppo[.]ミリリットル。

スプーフィングされたドメインtibct[.]ネットでは、WHOISデータで、攻撃者がtibct[.]org(2019年3月5日登録)およびmonlamlt[.]コム (2019年3月11日登録)で、どちらもチベットに関連するリソースをホストしているか、公式のCTAドメインのタイポスクワットであるように見えます。 Farsight SecurityのDNSDBでこれらのドメインを分析すると、さらに密接に関連するインフラストラクチャが明らかになります。

ドメイン	IP解像度	コメント
tibct[.]網	139.59.90[.]169 (March 7 – 8, 2019), 103.255.179[.]142 (March 9, 2019)	ドメインは、中国広東省に所在する住所を使用して登録されています。チベットのタイポスクワット[.]網
tibct[.]組織	–	CTAサイトtibetのタイポスクワット[.]網
monlamlt[.]コム	23.225.161[.]105	モンラミットのタイポスクワット[.]com、 チベットのITリソースとサポートサイト
メールシールド[.]ジョージア 州	23.225.161[.]105	AV製品のなりすましの可能性
フォトグラム[.]ジョージア 州	23.225.161[.]105	画像共有のなりすましの可能性(Instagramなど)
mail.mailshield[.]ジョージア 州	23.225.161[.]105	AV製品のなりすましの可能性

今後の展望

これらのScanboxへの侵入は、Insikt Groupが数日以内に検出したもので、このツールが依然として攻撃者に人気があり、中国国家の地政学的利益と広く連携する組織に対して使用されていることを示しています。 標的となった2つの組織の身元と、中国のさまざまなAPTによるScanboxの歴史的な使用が十分に文書化されていることから、これらのScanboxの展開は中国の国家支援を受けた脅威アクターによって行われた可能性が高いと低い信頼性で評価しています。

ネットワーク防御に関する推奨事項

Recorded Futureは、この調査で文書化されているように、Scanboxのターゲティングに対して防御する際に、組織が次の対策を実装することを推奨しています。

• 侵入検知システム (IDS)、侵入防止システム (IPS)、またはネットワーク防御メカニズムを設定して、 付録 A にリストされている外部 IP アドレスとドメインからの不正な接続試行に対してアラートを発し、確認後にブロックすることを検討します。

• 付録 B に添付されている脅威ハンティングパッケージで提供されている Snort ルールを IDS および IPS アプライアンスに実装し、このレポートで概説されている TTP に類似したアクティビティに対して生成されたアラートを調査します。

• 付録 B の脅威ハンティング パッケージに記載されている Scanbox ルールについて、企業全体で定期的な YARA スキャンを実施します。

• Recorded Futureのお客様は、Insikt Groupの研究者がRecorded Futureプラットフォーム内で現在展開しているYARAルールに一致する新しいサンプルを通知できます。

関連する侵害の指標の完全なリストを表示するには 、付録をダウンロードしてください。