TAG-124の多層TDSインフラストラクチャと広範なユーザーベース
分析基準日:2025年1月7日
Executive Summary
Insikt Groupは、Recorded FutureがTAG-124として追跡しているトラフィック分散システム(TDS)にリンクされた多層インフラストラクチャを特定しました。これは、LandUpdate808、404TDS、KongTuke、Chaya_002として知られる脅威活動クラスターと重複しています。TAG-124は、侵害されたWordPressサイトのネットワーク、攻撃者が制御するペイロードサーバー、中央サーバー、疑わしい管理サーバー、追加のパネル、およびその他のコンポーネントで構成されています。TAG-124の背後にいる脅威アクターは、侵害されたWordPressサイトに埋め込まれたURLの定期的な更新、サーバーの追加、検出を回避するためのTDSロジックの改良、感染戦術の適応など、高度な活動を示しています。これらは、最近実装されたClickFix技術によって示されています。
Insikt Groupは、Rhysidaランサムウェア、Interlockランサムウェア、TA866/Asylum Ambuscade、SocGholish、D3F@CK Loader、TA582などの運営者を含む、初期感染チェーン内でTAG-124を使用している複数の脅威アクターを特定しました。特に、TAG-124の共有使用は、RhysidaとInterlockランサムウェアのつながりを強化します。これらのランサムウェアは、戦術、ツール、暗号化の動作、身代金要求のテーマ、コードの重複、データ流出技術の類似性によってすでに関連付けられています。Insikt Groupは、TAG-124がますます高度化し、専門化しているサイバー犯罪エコシステム内で活動を継続し、その有効性を高め、さらに多くのユーザーとパートナーを引き付けると予測しています。
主な調査結果
- Insikt Groupは、TAG-124として追跡されているTDSにリンクされた多層インフラストラクチャを特定しました。このインフラストラクチャには、侵害されたWordPressサイトのネットワーク、攻撃者が制御している可能性のあるペイロードサーバー、中央サーバー、疑わしい管理サーバー、追加のパネルなどのコンポーネントが含まれます。
- TAG-124に関連する脅威アクターは非常に活発で、侵害されたWordPressサイトのURLを定期的に更新して検出を回避し、インフラストラクチャに新しいサーバーを追加し、TDSにリンクされた条件付きロジックと感染戦術を改善しています。
- 複数の脅威アクターが、Rhysidaランサムウェア、Interlockランサムウェア、TA866/Asylum Ambuscade、SocGholish、D3F@CK Loader、TA582などの運営者を含め、TAG-124のサービスを初期感染チェーンに組み込んでいると評価されています。
- Rhysida ランサムウェアと Interlock ランサムウェアは、戦術、ツール、暗号化の動作、身代金メモのテーマ、コードの重複、データの抽出手法などの類似性から互いに関連付けられていますが、TAG-124 の共通使用がこの関連性を強化しています。
背景
TAG-124は、LandUpdate808、404TDS、KongTuke、Chaya_002と重複するTDSであり、Rhysidaランサムウェア、Interlockランサムウェア、TA866/Asylum Ambuscade、SocGholish、D3F@CK Loader、TA582などの脅威アクターに代わってマルウェアを配布するために使用されます(1、2、3)。TDSとは通常、位置情報やデバイスの種類などのパラメーターに基づいてウェブトラフィックを分析し、特定の訪問者をフィッシングサイト、マルウェア、エクスプロイトキットなどの悪意のある目的地に誘導するシステムを指します。このシステムは、検出を回避し、サイバー犯罪キャンペーンを最適化するために使用されます。
より具体的には、TAG-124は、侵害されたWordPressウェブサイトに悪意のあるJavaScriptコードを注入することで動作します。訪問者が感染したウェブサイトにアクセスすると、マルウェアのダウンロードや実行につながるアクションを実行するように操作するため設計された、攻撃者が制御するリソースを無意識のうちに読み込みます。TAG-124 は、マルウェアをGoogle Chromeブラウザの必須アップデートとして提示することで、被害者を欺くことがよくあります。
最近のバリエーションでは、TAG-124のClickFix技術使用が観測されています。このアプローチは、訪問者にクリップボードに事前にコピーされたコマンドを実行するよう指示するダイアログを表示します。訪問者がそのコマンドを実行すると、マルウェアのペイロードをダウンロードして実行するための多段階プロセスが開始されます。
脅威分析
TAG-124
Insikt Groupは、TDS TAG-124に関連する多層インフラストラクチャを特定しました。このインフラストラクチャは、侵害されたWordPressサイトのネットワーク、攻撃者が制御している可能性のあるペイロードサーバー、分析時点で正確な目的が不明な中央サーバー、疑わしい管理サーバー、追加の管理パネルで構成されています。訪問者が特定の基準を満たすと、侵害されたWordPressサイトは偽のGoogle Chrome更新のランディングページを表示し、最終的にマルウェア感染につながります。このことは本レポートの「TAG-124のユーザー」セクションで説明されています(図1参照)。
図1:TAG-124の高レベルインフラストラクチャ設定(出典:Recorded Future)
侵害されたWordPressウェブサイト
TAG-124のインフラストラクチャはWordPressウェブサイトの広範なネットワークで構成されています(付録A参照)。これらのウェブサイトには、業界、トピックや地理に関する一貫したテーマが欠如しているように見えます。これは、悪用や情報窃取型マルウェアを介して取得した認証情報を通じて、日和見的に侵害された可能性を示唆しています。
初期配信における第一段階のWordPressウェブサイト
初期配信フェーズの最初の段階で侵害されたウェブサイトには、通常、ドキュメントオブジェクトモデル(DOM)の任意の場所にasync属性を持つスクリプトタグが含まれています。これにより、ページと並行して外部JavaScriptファイルを読み込み、レンダリングの遅延を回避できます(図2参照)。
図2:外部JavaScriptファイルを読み込むためにDOM内で使用されるスクリプトタグ(出典: URLScan)
JavaScriptのファイル名は時間の経過とともに頻繁に変更されており、初期の名前は認識しやすいパターン(例:metrics.js)に従っていました。より最近のものはランダムにフォーマットされているように見えます(hpms1989.jsなど)。ファイル名の例を以下に示します。
- 3561.js
- 365h.js
- e365r.js
- hpms1989.js
- metrics.js
- nazvanie.js
- web-analyzer.js
- web-metrics.js
- web.js
- wp-config.js
- wp.js
注目すべきは、脅威アクターが侵害されたウェブサイトのURLを定期的に更新しているように見えることです。例えば、www[.]ecowas[.]intに関連するウェブサイトでは、JavaScriptファイルを取得するために使用されるURLが一貫して変更されています。この挙動は、脅威アクターがこれらのWordPressサイトへの継続的なアクセスを維持し、検出を回避するためにドメインやJavaScriptファイル名を含むURLを頻繁に変更していることを示しています。
侵害されたWordPressウェブサイトの多くはあまり知られていない組織に関連しているように見えますが、Insikt Groupは、ポーランド試験認証センターにリンクされたサブドメインwww[.]pcbc[.]gov[.]plおよび西アフリカ諸国経済共同体(ECOWAS)のドメインwww[.]ecowas[.]intを含む注目すべき事例を特定しました。どちらも侵害され、TAG-124キャンペーンで使用されています。
初期配信における最終段階のWordPressウェブサイト
訪問者が完全に特定できない特定の基準を満たしている場合、侵害されたWordPressドメインは通常、偽のGoogle Chromeアップデートのランディングページを表示します。これらのページは、ユーザーにダウンロードボタンをクリックするように促し、侵害されたWordPressサイトのセカンダリセットの指定されたエンドポイントから実際のペイロードをダウンロードさせます。これには以下が含まれますが、これらに限定されません。
- /wp-admin/images/wfgth.php
- /wp-includes/pomo/update.php
- /wp-content/upgrade/update.php
- /wp-admin/images/rsggj.php
偽のGoogle Chrome更新ランディングページ
Insikt Groupは、TAG-124に関連する偽のGoogle Chromeアップデートのランディングページの2つのバリアントを発見しました(図3を参照)。URLScanの送信データによれば、バリアント1はより長く活動しており、最も古い送信は 2024年4月24日に記録されています。
図3:偽のGoogle Chromeアップデート亜種1(左)と2(右)(出典:URLScan、URLScan)
未だ不明な特定の条件を満たした被害者のみが偽のGoogle Chromeアップデートのランディングページに誘導されるため、限られた数のドメインしか観察されません(表1を参照)。これらのドメインは、DOMに埋め込まれたURL、公開報告、または他の指標に基づいて、TAG-124に帰属させることができます。特に、脅威アクターは、クエリパラメーターで「referer」という単語のスペルを「refferer」と一貫して間違えており、これは以前のレポートで確認された誤記です。
| ドメイン | メモ | バリアント |
| www[.]reloadinternet[.]com | www[.]netzwerkreklame[.]deにリンク | 1 |
| selectmotors[.]net | www[.]netzwerkreklame[.]deにリンク | 1 |
| mgssoft[.]com | www[.]netzwerkreklame[.]deにリンク | 1 |
| www[.]lovebscott[.]com | sustaincharlotte[.]orgへリンク | 1 |
| evolverangesolutions[.]com | sustaincharlotte[.]orgへリンク | 1 |
| www[.]ecowas[.]int | www[.]pawrestling[.]netへリンク | 1 |
| ns1[.]webasatir[.]ir | リンク先は以前TAG-124に関連付けられていたtrue-blood[.]net | 2 |
| avayehazar[.]ir | true-blood[.]netにリンク | 2 |
| cvqrcode[.]lpmglobalrelations[.]com | true-blood[.]netにリンク | 2 |
| mktgads[.]com | true-blood[.]netにリンク | 2 |
| incalzireivar[.]ro | true-blood[.]netにリンク | 2 |
| gmdva[.]org | true-blood[.]netにリンク | 2 |
| www[.]de[.]digitaalkantoor[.]online | true-blood[.]netにリンク | 2 |
| elamoto[.]com | TAG-124にリンクされており、クエリパラメータに誤記があり、winworld[.]esからリダイレクトされました。これは、スペインに拠点を置くコンピューターサポートとサービスを専門とする企業であるWinWorldに関連するドメインです。 | 2 |
表1:偽のGoogle Chromeアップデートページをホストしている可能性のある危険なウェブサイト(出典:Recorded Future)
脅威アクターが所有している可能性のあるドメイン
表1に記載されたドメインは侵害されている可能性が高いですが、Insikt Groupはさらに2つのドメインでホストされているウェブサイトに存在するURLを分析しました(表2を参照)。当社の分析では、これらのドメインがTAG-124に高い確率で関連していることが示唆されています。
表2:視覚的類似性検索で見つかったその他のドメイン(出典:Recorded Future)
ドメインupdate-chronne[.]comはCloudflareの背後でホストされており、Google Chromeを直接模倣しているため、脅威アクターが所有しているように見えます(図4参照)。分析時点でこのドメインは依然としてアクティブで、Google検索でインデックスされており、REMCOS RATとして識別されたファイルRelease.zipをホストしていました。
図4:update-chronne[.]com上のGoogle Chromeの偽の更新ランディングページ(出典:Recorded Future)
特に、被害者が「Chromeを更新」ボタンをクリックすると、ウェブサイトはdownloading[.]bplnetempresas[.]comにリダイレクトされ、IPアドレス146.70.41[.]191が3つの異なるポートと組み合わせられて表示されます(図5参照)。このIPアドレスは以前、REMCOS RATに関連付けられたことがあります。
図5:downloading[.]bplnetempresas[.]comに表示されたREMCOS RATコマンド&コントロール(C2)サーバーの疑い(出典:Recorded Future)
さらに、このドメインはmoc.txtというファイルをホストしていました。これには、Release.zipの内容をダウンロードして実行するように設計されたPowerShellスクリプトが含まれます(図6参照)。URLは短縮URLhttps://wl[.]gl/25dW64を介してリダイレクトされました。
図6:2024年9月12日現在https://update-chronne[.]com/moc.txtでホストされているPowerShellスクリプト(出典:URLScan)
シェルの疑いのあるウェブサイト
update-chronne[.]comとdownloading[.]bplnetempresas[.]comのいずれもブラジルの組織らしき「YSOFEL」に関連すると思われるウェブサイトをホストしていました(図7参照)。しかし、この組織に関する情報はオンラインでは見つからず、架空の組織である可能性が高いことが示唆されています。
図7:偽のブラジル組織にリンクされた疑わしいシェルウェブサイト(出典:URLScan)
Insikt Groupは他のいくつかのドメインを特定しており、その一部は「侵害されたWordPressウェブサイト」セクションに記載されています(例:mktgads[.]com)他のものはGoogleを偽装しているように見えます(例: check-googlle[.]com)(表3を参照)。これは、このウェブサイトが「シェルウェブサイト」として機能し、ドメインのエイジングのため、または訪問者が特定の基準を満たした場合にのみコンテンツを表示するために使用される可能性があることを示唆しています。
| ドメイン | IPアドレス | 最初の発見日 | 最終表示 | メモ |
| challinksch[.]com | Cloudflare | 2024-09-05 | 2025-01-05 | PuTTYをダウンロードし、AsyncRATにリンクされたホストされたPowerShellスクリプト |
| chalnlizt[.]org | Cloudflare | 2024-08-21 | 2025-01-07 | ホストされたPowerShellスクリプト |
| check-googlle[.]com | Cloudflare | 2024-09-09 | 2025-01-07 | 該当なし |
| cihainlst[.]org | Cloudflare | 2024-08-21 | 2025-01-07 | 該当なし |
| io-suite-web[.]com | Cloudflare | 2024-08-14 | 2025-01-07 | 該当なし |
| miner-tolken[.]com | Cloudflare | 2024-09-06 | 2025-01-07 | 該当なし |
| ronnin-v2[.]com | Cloudflare | 2024-05-27 | 2025-01-07 | 該当なし |
| symdilatic[.]com | Cloudflare | 2024-08-20 | 2025-01-07 | 該当なし |
| symbieitc[.]com | Cloudflare | 2024-08-21 | 2025-01-04 | 該当なし |
| symdlotic[.]com | Cloudflare | 2024-08-21 | 2025-01-07 | 該当なし |
| synbioltic[.]com | Cloudflare | 2024-08-21 | 2025-01-07 | 該当なし |
| symbliatc[.]com | Cloudflare | 2024-08-20 | 2024年12月30日 | 該当なし |
| symbietic[.]com | Cloudflare | 2024-08-19 | 2025-01-07 | 該当なし |
| comteste[.]com | Cloudflare | 2024-08-19 | 2025-01-07 | 該当なし |
| symdilotic[.]com | Cloudflare | 2024-08-20 | 2024年12月30日 | 該当なし |
| v2-rubby[.]com | Cloudflare | 2024-05-22 | 2025-01-07 | 該当なし |
表3:上記の偽のブラジル組織に関連付けられた疑わしい「シェルウェブサイト」にリンクされているドメイン(出典:Recorded Future)
表3のすべてのドメインが悪意のあるものなのか、同じ活動に関連しているのかは不明です。しかし、同じウェブサイトを共有ホスティングしていること、他のブランド(例えばChainList)になりすましていること、感染へのリンクが部分的に検証されていることなどから少なくとも疑わしいと言えます。
TAG-124配信サーバー
TAG-124は、感染チェーンのさまざまなコンポーネントに対して、侵害されたWordPressウェブサイトを活用します。これらの侵害されたファーストステージWordPressサイトのDOMに埋め込まれたサーバーは、「初期配信におけるファーストステージWordPressウェブサイト」セクションで詳述されているように、脅威アクターによって所有されている可能性が高いです。Insikt Groupは、TAG-124脅威アクターに接続され、管理されている可能性が高いサーバーの大規模なネットワークを特定しました(表4参照)。
| ドメイン | IPアドレス | 最初の発見日 | 最終表示 | メモ |
| ambiwa[.]com | 45[.]61[.]136[.]9 | 2024年12月28日 | 2025-01-07 | |
| gcafin[.]com | 45[.]61[.]136[.]9 | 2024年12月29日 | 2025-01-06 | |
| discoves[.]com | 45[.]61[.]136[.]9 | 2024年12月26日 | 2025-01-06 | |
| xaides[.]com | 45[.]61[.]136[.]40 | 2025-01-02 | 2025-01-07 | |
| usbkits[.]com | 45[.]61[.]136[.]40 | 2025-01-02 | 2025-01-07 | |
| mirugby[.]com | 45[.]61[.]136[.]40 | 2025-01-02 | 2025-01-07 | |
| ecrut[.]com | 45[.]61[.]136[.]41 | 2025-01-06 | 2025-01-07 | |
| pursyst[.]com | 45[.]61[.]136[.]41 | 2025-01-06 | 2025-01-07 | |
| pushcg[.]com | 45[.]61[.]136[.]67 | 2024-09-18 | 2025-01-07 | |
| piedsmontlaw[.]com | 45[.]61[.]136[.]67 | 2022-12-22 | 2025-01-06 | |
| pemalite[.]com | 45[.]61[.]136[.]67 | 2022-12-22 | 2025-01-07 | |
| howmanychairs[.]com | 45[.]61[.]136[.]67 | 2024-03-14 | 2025-01-06 | |
| calbbs[.]com | 45[.]61[.]136[.]89 | 2024-12-18 | 2025-01-07 | |
| habfan[.]com | 45[.]61[.]136[.]132 | 2024-12-07 | 2025-01-07 | |
| iognews[.]com | 45[.]61[.]136[.]132 | 2024-12-06 | 2025-01-07 | |
| safigdata[.]com | 45[.]61[.]136[.]196 | 2024年11月19日 | 2025-01-07 | |
| z-v2-071924[.]kailib[.]com | 45[.]61[.]136[.]196 | 2024年11月13日 | 2024年11月29日 | |
| z-v2-071810[.]kailib[.]com | 45[.]61[.]136[.]196 | 2024年11月10日 | 2024年11月13日 | |
| nyciot[.]com | 45[.]61[.]136[.]196 | 2024年11月20日 | 2025-01-07 | |
| pweobmxdlboi[.]com | 64[.]7[.]198[.]66 | 2024-08-27 | 2025-01-07 | |
| boneyn[.]com | 64[.]94[.]85[.]98 | 2024-12-22 | 2025-01-07 | |
| satpr[.]com | 64[.]94[.]85[.]98 | 2024-12-22 | 2025-01-07 | |
| coeshor[.]com | 64[.]94[.]85[.]248 | 2024-12-06 | 2025-01-07 | |
| mtclibraries[.]com | 64[.]94[.]85[.]248 | 2024-12-11 | 2025-01-07 | |
| z-v2-072122[.]kailib[.]com | 64[.]94[.]85[.]248 | 2024年11月18日 | 2024年11月29日 | |
| sdrce[.]com | 64[.]95[.]11[.]65 | 2024年12月13日 | 2025-01-07 | |
| theinb[.]com | 64[.]95[.]11[.]65 | 2024年12月13日 | 2025-01-07 | |
| elizgallery[.]com | 64[.]95[.]11[.]184 | 2024年11月20日 | 2025-01-07 | |
| enethost[.]com | 64[.]95[.]12[.]38 | 2024年12月26日 | 2025-01-07 | |
| dhusch[.]com | 64[.]95[.]12[.]38 | 2024-12-24 | 2025-01-07 | |
| fastard[.]com | 64[.]95[.]12[.]38 | 2024年12月25日 | 2025-01-07 | |
| franklinida[.]com | 64[.]95[.]12[.]98 | 2024年10月18日 | 2025-01-07 | |
| nastictac[.]com | 64[.]190[.]113[.]41 | 2024年11月25日 | 2025-01-07 | |
| dncoding[.]com | 64[.]190[.]113[.]41 | 2024年11月26日 | 2025-01-07 | |
| djnito[.]com | 64[.]190[.]113[.]111 | 2024-12-11 | 2025-01-07 | |
| opgears[.]com | 64[.]190[.]113[.]111 | 2024-12-11 | 2025-01-07 | |
| tickerwell[.]com | 162[.]33[.]177[.]36 | 2024年11月19日 | 2025-01-07 | |
| selmanc[.]com | 162[.]33[.]177[.]82 | 2024-12-16 | 2025-01-07 | |
| tibetin[.]com | 162[.]33[.]177[.]82 | 2024-12-16 | 2025-01-07 | |
| mercro[.]com | 162[.]33[.]178[.]59 | 2024年10月31日 | 2025-01-07 | |
| esaleerugs[.]com | 162[.]33[.]178[.]63 | 2024年11月22日 | 2025-01-07 | |
| tayakay[.]com | 162[.]33[.]178[.]75 | 2024年11月15日 | 2024年11月15日 | |
| ilsotto[.]com | 162[.]33[.]178[.]113 | 2024年11月23日 | 2025-01-07 | |
| chewels[.]com | 193[.]149[.]176[.]179 | 2024-12-05 | 2025-01-07 | |
| sokrpro[.]com | 193[.]149[.]176[.]223 | 2024年12月20日 | 2025-01-07 | |
| hdtele[.]com | 193[.]149[.]176[.]223 | 2024年12月20日 | 2025-01-07 | |
| chhimi[.]com | 193[.]149[.]176[.]248 | 2024-08-15 | 2025-01-07 | |
| dechromo[.]com | 216[.]245[.]184[.]179 | 2024-12-09 | 2025-01-07 | |
| enerjjoy[.]com | 216[.]245[.]184[.]179 | 2024-12-09 | 2025-01-07 | |
| dsassoc[.]com | 216[.]245[.]184[.]179 | 2024-12-18 | 2025-01-07 | |
| gwcomics[.]com | 216[.]245[.]184[.]210 | 2024-12-19 | 2025-01-07 | |
| genhil[.]com | 216[.]245[.]184[.]225 | 2024年11月18日 | 2025-01-07 | |
| vicrin[.]com | 216[.]245[.]184[.]225 | 2024-11-05 | 2025-01-07 | |
| eliztalks[.]com | 216[.]245[.]184[.]225 | 2024-11-16 | 2025-01-07 | |
| rshank[.]com | 216[.]245[.]184[.]225 | 2024年11月13日 | 2025-01-06 |
表4:脅威アクターが管理する可能性の高いTAG-124配信サーバー(出典:Recorded Future)
ほとんどのドメインは2024年11月に解決を開始しており、この期間中にTAG-124が勢いを増し、分析時点では大半のドメインがまだアクティブであることを示唆しています。注目すべきは、45[.]61[.]136[.]67でホストされている2つのドメインpiedsmontlaw[.]comとpemalite[.]comで、2022年にすでにこのIPアドレスに解決されており、同期間中にサーバーがすでに脅威アクターの制御下にあった可能性があることを示しています。
上位インフラストラクチャの疑い
「TAG-124 配信サーバー」セクションに記載されているように、脅威アクターによる制御が疑われるTAG-124配信サーバーの大部分は、TCPポート443を介してサーバーと通信していることが確認されています(図1参照)。このサーバーの構成は配信サーバーの構成と類似しており、アクセスすると一般的なHTMLページのみを返すドメインをホストしています。分析時点でInsikt Groupはこのサーバーの正確な目的を特定できませんでしたが、運用において中心的な役割を果たしていると疑っています。1つの可能性として、TDSのコアロジックが含まれていることがあります。
さらに、Insikt Groupは、TAG-124に関連付けられている疑わしい管理サーバーを特定しました。このサーバーは、TCPポート80と443を介して配信サーバーと通信していることが観察されています。また、「Ads Panel」と呼ばれるTAG-124にリンクされた別のパネルとも連携しています。その目的には、指定されたエンドポイントを通じて最新の配信サーバーを提供することが含まれます(図1を参照)。
TAG-124の多層TDSインフラストラクチャと広範なユーザーベース
分析全文をお読みください
付録A — 侵害を示す指標
| TAG-124使用の侵害された可能性のあるWordPressドメイン: 1stproducts[.]com 3hti[.]com academictutoringcenters[.]com adpages[.]com adsbicloud[.]com advanceair[.]net airbluefootgear[.]com airinnovations[.]com allaces[.]com[.]au alumni[.]clemson[.]edu ambir[.]com americanreloading[.]com antiagewellness[.]com architectureandgovernance[.]com astromachineworks[.]com athsvic[.]org[.]au baseball[.]razzball[.]com bastillefestival[.]com[.]au bigfoot99[.]com blacksportsonline[.]com blog[.]contentstudio[.]io bluefrogplumbing[.]com canadamotoguide[.]com canadanickel[.]com capecinema[.]org careers[.]bms[.]com careers[.]fortive[.]com castellodelpoggio[.]com catholiccharities[.]org chamonixskipasses[.]com changemh[.]org chicklitplus[.]com clmfireproofing[.]com comingoutcovenant[.]com complete-physio[.]co[.]uk complete-pilates[.]co[.]uk conical-fermenter[.]com cssp[.]org deathtotheworld[.]com deerfield[.]com denhamlawoffice[.]com dev[.]azliver[.]com development[.]3hti[.]com digimind[.]nl dotnetreport[.]com drcolbert[.]com dzyne[.]com earthboundfarm[.]com eivcapital[.]com elitetournaments[.]com ergos[.]com esfna[.]org espumadesign[.]com exceptionalindividuals[.]com experiencebrightwater[.]ca firstpresbyterianpaulding[.]com fractalerts[.]com fusionstone[.]ca global-engage[.]com gobrightwing[.]com gov2x[.]com hksusa[.]com hmgcreative[.]com hmh[.]org hoodcontainer[.]com hospitalnews[.]com housingforhouston[.]com houstonmaritime[.]org hrsoft[.]com hungryman[.]com icmcontrols[.]com ijmtolldiv[.]com innsbrook[.]com jewelryexchange[.]com jodymassagetherapyclinic[.]com joelbieber[.]com knewhealth[.]com lamaisonquilting[.]com legacy[.]orlandparkprayercenter[.]org levyso[.]com luxlifemiamiblog[.]com magnoliagreen[.]com magnotics[.]com manawatunz[.]co[.]nz mantonpushrods[.]com michiganchronicle[.]com michigantownships[.]org monlamdesigns[.]com montessoriwest[.]com movinbed[.]com my[.]networknuts[.]net myrtlebeachgolf[.]com ncma[.]org oglethorpe[.]edu oningroup[.]com orlandparkprayercenter[.]org outdoornativitystore[.]com parksaverscom[.]kinsta[.]cloud peoria[.]org peridotdentalcare[.]ca phfi[.]org pikapp[.]org powerlineblog[.]com prek4sa[.]com psafetysolutions[.]com puntademita-rentals[.]com resf[.]com retaildatallc[.]com rhodenroofing[.]com rm-arquisign[.]com rvthereyet[.]com schroederindustries[.]com sec-group[.]co[.]uk sixpoint[.]com slotomoons[.]com sollishealth[.]com sparkcarwash[.]com spectralogic[.]com sramanamitra[.]com stg-seatrail-staging[.]kinsta[.]cloud stg-townandcountryplanningassoci-staging[.]kinsta[.]cloud sustaincharlotte[.]org teamtoc[.]com terryrossplumbing[.]com theawningcompanc[.]mrmarketing[.]us theepicentre[.]com theyard[.]com tristatecr[.]com true-blood[.]net turtl[.]co tustinhistory[.]com tysonmutrux[.]com uk[.]pattern[.]com unsolved[.]com vanillajoy[.]ykv[.]ijh[.]mybluehost[.]me vectare[.]co[.]uk villageladies[.]co[.]uk walkerroofingandconstruction[.]com wildwestguns[.]com wildwoodpress[.]org wlplastics[.]com worldorphans[.]org www[.]211cny[.]com www[.]6connex[.]com www[.]900biscaynebaymiamicondos[.]com www[.]accentawnings[.]com www[.]acvillage[.]net www[.]airandheatspecialistsnj[.]com www[.]als-mnd[.]org www[.]americancraftbeer[.]com www[.]anoretaresort[.]com www[.]architectureandgovernance[.]com www[.]atlantaparent[.]com www[.]atlas-sp[.]com www[.]atmosera[.]com www[.]belvoirfarm[.]co[.]uk www[.]betterengineering[.]com www[.]bluefoxcasino[.]com www[.]boatclubtrafalgar[.]com www[.]bordgaisenergytheatre[.]ie www[.]brandamos[.]com www[.]cairnha[.]com www[.]cdhcpa[.]com www[.]cds[.]coop www[.]cgimgolf[.]com www[.]cheericca[.]org www[.]conwire[.]com www[.]cssp[.]org www[.]dces[.]com www[.]disabilityscot[.]org[.]uk www[.]doctorkiltz[.]com www[.]drivenbyboredom[.]com www[.]ecowas[.]int www[.]evercoat[.]com www[.]facefoundrie[.]com www[.]foxcorphousing[.]com www[.]genderconfirmation[.]com www[.]gofreight[.]com www[.]gunnerroofing[.]com www[.]hayeshvacllc[.]com www[.]hksusa[.]com www[.]hollingsworth-vose[.]com www[.]hollywoodburbankairport[.]com www[.]hopechc[.]org www[.]icmcontrols[.]com www[.]inboundlogistics[.]com www[.]infra-metals[.]com www[.]jasperpim[.]com www[.]koimoi[.]com www[.]louisvillemechanical[.]com www[.]lsbn[.]state[.]la[.]us www[.]mallorcantonic[.]com www[.]marketlist[.]com www[.]mocanyc[.]org www[.]motherwellfc[.]co[.]uk www[.]murphyoilcorp[.]com www[.]myrtlebeachgolfpackages[.]co www[.]napcis[.]org www[.]nelsongonzalez[.]com www[.]netzwerkreklame[.]de www[.]onthegreenmagazine[.]com www[.]orthodontie-laurentides[.]com www[.]pamelasandalldesign[.]com www[.]parajohn[.]com www[.]parksavers[.]com www[.]parmacalcio1913[.]com www[.]patio-supply[.]com www[.]pcbc[.]gov[.]pl www[.]perfectduluthday[.]com www[.]powerlineblog[.]com www[.]progarm[.]com www[.]rafilawfirm[.]com www[.]reddiseals[.]com www[.]riaa[.]com www[.]robertomalca[.]com www[.]sevenacres[.]org www[.]sigmathermal[.]com www[.]sisdisinfestazioni[.]it www[.]spectralink[.]com www[.]sramanamitra[.]com www[.]sunkissedindecember[.]com www[.]sweetstreet[.]com www[.]system-scale[.]com www[.]tcpa[.]org[.]uk www[.]thatcompany[.]com www[.]the-kaisers[.]de www[.]thecreativemom[.]com www[.]thedesignsheppard[.]com www[.]therialtoreport[.]com www[.]thetrafalgargroup[.]co[.]uk www[.]thetruthaboutguns[.]com www[.]totem[.]tech www[.]ultrasound-guided-injections[.]co[.]uk www[.]urbis-realestate[.]com www[.]vending[.]com www[.]venetiannj[.]com www[.]visitarundel[.]co[.]uk www[.]wefinanceanycar[.]com www[.]wilsonsd[.]org www[.]wilymanager[.]com www[.]wvwc[.]edu zerocap[.]com 偽のGoogle Chromeアップデートページを表示する可能性のある侵害された可能性のあるウェブサイト: avayehazar[.]ir cvqrcode[.]lpmglobalrelations[.]com elamoto[.]com evolverangesolutions[.]com gmdva[.]org incalzireivar[.]ro mgssoft[.]com mktgads[.]com ns1[.]webasatir[.]ir selectmotors[.]net sollishealth[.]com update-chronne[.]com www[.]de[.]digitaalkantoor[.]online www[.]ecowas[.]int www[.]lovebscott[.]com www[.]reloadinternet[.]com TAG-124ドメイン: ambiwa[.]com boneyn[.]com calbbs[.]com chewels[.]com chhimi[.]com coeshor[.]com dechromo[.]com dhusch[.]com discoves[.]com djnito[.]com dncoding[.]com dsassoc[.]com ecrut[.]com elizgallery[.]com eliztalks[.]com enerjjoy[.]com enethost[.]com esaleerugs[.]com fastard[.]com franklinida[.]com gcafin[.]com genhil[.]com gwcomics[.]com habfan[.]com hdtele[.]com howmanychairs[.]com ilsotto[.]com iognews[.]com mercro[.]com mirugby[.]com mtclibraries[.]com nastictac[.]com nyciot[.]com opgears[.]com pemalite[.]com piedsmontlaw[.]com pursyst[.]com pushcg[.]com pweobmxdlboi[.]com rshank[.]com safigdata[.]com satpr[.]com sdrce[.]com selmanc[.]com sokrpro[.]com tayakay[.]com theinb[.]com tibetin[.]com tickerwell[.]com usbkits[.]com vicrin[.]com xaides[.]com TAG-124 IPアドレス: 45[.]61[.]136[.]9 45[.]61[.]136[.]40 45[.]61[.]136[.]41 45[.]61[.]136[.]67 45[.]61[.]136[.]89 45[.]61[.]136[.]132 45[.]61[.]136[.]196 64[.]7[.]198[.]66 64[.]94[.]85[.]98 64[.]94[.]85[.]248 64[.]95[.]11[.]65 64[.]95[.]11[.]184 64[.]95[.]12[.]38 64[.]95[.]12[.]98 64[.]190[.]113[.]41 64[.]190[.]113[.]111 162[.]33[.]177[.]36 162[.]33[.]177[.]82 162[.]33[.]178[.]59 162[.]33[.]178[.]63 162[.]33[.]178[.]75 162[.]33[.]178[.]113 193[.]149[.]176[.]179 193[.]149[.]176[.]223 193[.]149[.]176[.]248 216[.]245[.]184[.]179 216[.]245[.]184[.]210 216[.]245[.]184[.]225 TAG-124の活動で観察されたその他のドメイン: winworld[.]es true-blood[.]net Matomoインスタンス: dating2go[.]store apple-online[.]shopに関連している可能性のあるドメイン: micronsoftwares[.]com mysamsung7[.]shop nvidias[.]shop expressbuycomputers[.]shop amdradeon[.]shop mobileyas[.]shop cryptotap[.]site REMCOS RAT C2 IPアドレス: 146.70.41[.]191 TA582とMintsLoaderクラスターにリンクされている可能性が高いドメイン: 527newagain[.]top abhbdiiaehdejgh[.]top adednihknaalilg[.]top anjmhjidinfmlci[.]top azure-getrequest[.]icu azurearc-cdn[.]top azuregetrequest[.]icu bkkeiekjfcdaaen[.]top cignjjgmdnbchhc[.]top ckebfjgimhmjgmb[.]top cljhkcjfimibhci[.]top cmcebigeiajbfcb[.]top cmcuauec[.]top cryptoslate[.]cc eebchjechginddk[.]top ehnediemcaffbij[.]top ejlhaidjmhcmami[.]top faybzuy3byz2v[.]top fpziviec[.]top futnbuzj3nh[.]top gbkffjcglabkmne[.]top gdihcicdghmcldd[.]top get-azurecommand[.]icu get-iwrreq[.]top getazurecommand[.]icu gnmdjjckbgddaie[.]top gubyzywey6b[.]top iadkainhkafngnk[.]top ikhgijabfnkajem[.]top ikjfjkkagafbdke[.]top imfiejalbhhgijl[.]top kffgkjmjangegkg[.]top khcjgjmfjgdleag[.]top kjalcimbfaaddff[.]top mcajijknegnbbga[.]top melmejkjaakiakn[.]top mgjabikgjhhambm[.]top pretoria24[.]top rifiziec[.]top riuzvi4tc[.]top robnzuwubz[.]top saighbuzu32uvv[.]top PyInstallerハッシュ: 7683d38c024d0f203b374a87b7d43cc38590d63adb8e5f24dff7526f5955b15a 950f1f8d94010b636cb98be774970116d98908cd4c45fbb773e533560a4beea7 7f8e9d7c986cc45a78c0ad2f11f28d61a4b2dc948c62b10747991cb33ce0e241 CleanUpLoader Loader Hashes: 183c57d9af82964bfbb06fbb0690140d3f367d46d870e290e2583659609b19f2 22dc96b3b8ee42096c66ab08e255adce45e5e09a284cbe40d64e83e812d1b910 9d508074a830473bf1dee096b02a25310fa7929510b880a5875d3c316617dd50 28c49af7c95ab41989409d2c7f98e8f8053e5ca5f7a02b2a11ad4374085ec6ff 2da62d1841a6763f279c481e420047a108da21cd5e16eae31661e6fd5d1b25d7 342b889d1d8c81b1ba27fe84dec2ca375ed04889a876850c48d2b3579fbac206 42c1550b035353ae529e98304f89bf6065647833e582d08f0228185b493d0022 42d7135378ed8484a6a86a322ea427765f2e4ad37ee6449691b39314b5925a27 430fd4d18d22d0704db1c4a1037d8e1664bfc003c244650cb7538dbe7c3be63e 43f4ca1c7474c0476a42d937dc4af01c8ccfc20331baa0465ac0f3408f52b2e2 46aac6bf94551c259b4963157e75073cb211310e2afab7a1c0eded8a175d0a28 4fa213970fdef39d2506a1bd4f05a7ceee191d916b44b574022a768356951a23 57e9e1e3ebd78d4878d7bb69e9a2b0d0673245a87eb56cf861c7c548c4e7b457 6464cdbfddd98f3bf6301f2bf525ad3642fb18b434310ec731de08c79e933b3e 67b5b54c85e7590d81a404d6c7ea7dd90d4bc773785c83b85bcce82cead60c37 700f1afeb67c105760a9086b0345cb477737ab62616fd83add3f7adf9016c5e5 77dc705cecbc29089c8e9eea3335ba83de57a17ed99b0286b3d9301953a84eca 7b8d4b1ab46f9ad4ef2fd97d526e936186503ecde745f5a9ab9f88397678bc96 7ea83cca00623a8fdb6c2d6268fa0d5c4e50dbb67ab190d188b8033d884e4b75 8d911ef72bdb4ec5b99b7548c0c89ffc8639068834a5e2b684c9d78504550927 92d2488e401d24a4bfc1598d813bc53af5c225769efedf0c7e5e4083623f4486 941fa9119eb1413fdd4f05333e285c49935280cc85f167fb31627012ef71a6b3 95b9c9bf8fa3874ad9e6204f408ce162cd4ae7a8253e69c3c493188cb9d1f4da 97105ed172e5202bc219d99980ebbd01c3dfd7cd5f5ac29ca96c5a09caa8af67 9d508074a830473bf1dee096b02a25310fa7929510b880a5875d3c316617dd50 MintsLoaderの疑い: d738eef8756a03a516b02bbab0f1b06ea240efc151f00c05ec962d392cfddb93 77bd80e2a7c56eb37a33c2a0518a27deb709068fdc66bd1e00b5d958a25c7ad8 ccdf82b45b2ee9173c27981c51958e44dee43131edfbce983b6a5c146479ac33 |
付録B — MITRE ATT&CK手法
| 戦術:手法 | ATT&CKコード |
| リソース開発:インフラストラクチャの取得:ドメイン | T1583.001 |
| リソース開発:インフラストラクチャの取得:仮想プライベートサーバー | T1583.003 |
| リソース開発: インフラストラクチャの取得:サーバー | T1583.004 |
| リソース開発:侵害インフラストラクチャ:ドメイン | T1584.001 |
| リソース開発:能力開発:マルウェア | T1587.001 |
| 初期アクセス:ステージ機能:ドライブバイターゲット | T1608.004 |
| 防御回避:なりすまし | T1656 |
関連