Scanbox Watering Holeはパキスタンとチベット政府のウェブサイト訪問者をターゲットにしています
分析の全文をPDFでダウンロードするには、ここをクリックしてください。
本レポートでは、2019年3月上旬にパキスタン政府部門と中央チベット政府を標的とした最近のScanboxキャンペーンについて概説しています。 Insikt Groupの研究者は、Recorded Future(R) Platform、Shodan、Farsight Security DNS、サードパーティのネットワークメタデータ、および一般的なOSINT技術からのデータを利用しました。
このレポートは、サイバースパイ活動家が戦略的なWeb侵害を利用してネットワーク偵察を行うことによってもたらされる脅威を理解しようとしているネットワーク防御者にとって最も興味深いものとなるでしょう。
Executive Summary
2019年3月上旬、Recorded FutureのInsikt Groupは、パキスタン移民パスポート総局(DGIP)のウェブサイトへの訪問者を標的とする戦略的なウェブ侵害と、中央チベット政府(CTA)の公式ウェブサイトのなりすましの2つの別々のScanboxキャンペーンを特定しました。 どちらの場合も、攻撃者はWebサイト訪問者のデバイスをプロファイリングして、後続の侵入を行うことを意図していた可能性があります。
Insikt Groupは、この活動を強調して、標的となるコミュニティの保護を可能にし、中国の国家支援型脅威アクターが広く使用しているScanboxなどのインメモリ偵察フレームワークがもたらすリスクに対する認識を高めることを目的としています。
主な判断
Tibetan Scanboxの展開を分析した結果、いくつかの関連ドメインとIPが浮き彫りになり、チベットの利益に対する広範な標的化キャンペーンが明らかになりました。
Scanboxは以前、中国のウイグル人やチベット人など、迫害されている少数民族の標的として使用されてきました。
背景
2014年初頭に初めて注目されたScanboxは、Anthemの侵害や Forbesの水飲み場 型攻撃など、注目を集めるいくつかの侵入で使用され、Leviathan(APT40、 Temp.Periscope)、 LuckyMouse (TG-3390、Emissary Panda、Bronze Union)、 APT10 (menuPass、Stone Panda)、 APT3 (Pirpi、Gothic Panda)など、中国を拠点とする脅威アクターによって広く採用されています。
Scanboxは、攻撃者が侵害されたWebサイトへの訪問者を追跡し、キーロギングを実行し、後続の侵害を可能にするために使用できるデータを収集できるようにする偵察フレームワークです。 また、標的のホストに二次的なマルウェアを配信するために 変更されたことも報告 されています。 JavascriptとPHPで記述されたScanboxデプロイメントは、マルウェアをホストデバイスにダウンロードする必要性を排除します。
2014年以降のScanboxの利用状況をまとめました。 (出典:Recorded Future)
脅威分析
パキスタン DGIP Scanbox インスタンス
2019年3月4日、Insikt Groupは、パキスタンのDGIPウェブサイト(tracking.dgip.gov[.]PKの) は、Scanboxコードをページに展開した攻撃者によって侵害されました。 戦略的Web侵害(SWC)の結果として、Webサイトの訪問者は、オランダのIP 185.236.76[.]35, 攻撃者がScanboxの幅広い機能をデプロイできるようにします。
このScanboxデプロイメントの詳細については、 Trustwaveが最近公開したブログを参照してください。
パキスタンのDGIPの追跡システム用のScanboxに感染したWebポータル。
中央チベット行政スキャンボックスインスタンス
Insikt Groupの研究者は、Recorded Futureプラットフォーム内の新しいドメイン登録がtibct[.]網。 このドメインは、2019年3月6日に初めて登録されました。
Recorded Futureポータルに記載されている新しいドメイン登録イベントと、タイポスクワットリスクルールのトリガー。
分析の結果、このサイトは、以下に示すように、CTAの正当なウェブサイトとコンテンツの類似性を示しました。
なりすましCTAウェブサイトtibct[.]網 (左)、および正規のCTAウェブサイトtibet[.]網 (右)。
その後、2019年3月7日、tibct[.]網 Webページは、攻撃者によって悪意のあるJavaScriptを組み込むように変更されており、訪問者はoppo[.]ミリリットル (Cloudflare IP間で負荷分散 104.18.36[.]192, 104.18.37[.]192、および2606:4700:30::6812[:]24c0)。
なりすましドメインtibct[.]網。
訪問者はおそらく公式CTAウェブサイト、tibet[.]網 だまされてtibct[.]網 おそらく、スピアフィッシングの電子メールのリンクを介して、その後Scanbox C2ドメインoppo[.]ミリリットル。
スプーフィングされたドメインtibct[.]ネットでは、WHOISデータで、攻撃者がtibct[.]org(2019年3月5日登録)およびmonlamlt[.]コム (2019年3月11日登録)で、どちらもチベットに関連するリソースをホストしているか、公式のCTAドメインのタイポスクワットであるように見えます。 Farsight SecurityのDNSDBでこれらのドメインを分析すると、さらに密接に関連するインフラストラクチャが明らかになります。
ドメイン | IP解像度 | コメント |
---|---|---|
tibct[.]網 | 139.59.90[.]169 (2019年3月7日〜8日)、103.255.179[.]142 (2019年3月9日) | ドメインは、中国広東省に所在する住所を使用して登録されています。チベットのタイポスクワット[.]網 |
tibct[.]組織 | – | CTAサイトtibetのタイポスクワット[.]網 |
monlamlt[.]コム | 23.225.161[.]105 | モンラミットのタイポスクワット[.]com、 チベットのITリソースとサポートサイト |
メールシールド[.]ジョージア 州 | 23.225.161[.]105 | AV製品のなりすましの可能性 |
フォトグラム[.]ジョージア 州 | 23.225.161[.]105 | 画像共有のなりすましの可能性(Instagramなど) |
mail.mailshield[.]ジョージア 州 | 23.225.161[.]105 | AV製品のなりすましの可能性 |
今後の展望
これらのScanboxへの侵入は、Insikt Groupが数日以内に検出したもので、このツールが依然として攻撃者に人気があり、中国国家の地政学的利益と広く連携する組織に対して使用されていることを示しています。 標的となった2つの組織の身元と、中国のさまざまなAPTによるScanboxの歴史的な使用が十分に文書化されていることから、これらのScanboxの展開は中国の国家支援を受けた脅威アクターによって行われた可能性が高いと低い信頼性で評価しています。
ネットワーク防御に関する推奨事項
Recorded Futureは、この調査で文書化されているように、Scanboxのターゲティングに対して防御する際に、組織が次の対策を実装することを推奨しています。
侵入検知システム (IDS)、侵入防止システム (IPS)、またはネットワーク防御メカニズムを設定して、 付録 A にリストされている外部 IP アドレスとドメインからの不正な接続試行に対してアラートを発し、確認後にブロックすることを検討します。
付録 B に添付されている脅威ハンティングパッケージで提供されている Snort ルールを IDS および IPS アプライアンスに実装し、このレポートで概説されている TTP に類似したアクティビティに対して生成されたアラートを調査します。
付録 B の脅威ハンティング パッケージに記載されている Scanbox ルールについて、企業全体で定期的な YARA スキャンを実施します。
Recorded Futureのお客様は、Insikt Groupの研究者がRecorded Futureプラットフォーム内で現在展開しているYARAルールに一致する新しいサンプルを通知できます。
関連する侵害の指標の完全なリストを表示するには 、付録をダウンロードしてください。
関連