Hunt.ioは米フロリダ州オークランドを拠点とするHunt intelligence,Inc.によって開発・運営されているサイバー攻撃のインフラを特定し追跡する脅威インテリジェンス・プラットフォームです。Hunt.ioが日本を標的にした攻撃インフラを解析したところ、攻撃ツールに日本語が多用されていたということです。
初期アクセスはPaidyを装ったフィッシングページ
この脅威インフラの初期アクセスはPaidyを装ったフィッシングページです。Paidyはオンラインショップ等の支払いをスマホを使って後払いにすることができるサービスです。このサービスを利用すると翌月にまとめて支払いをすることができるようになるため手元にお金がなくてもオンラインショップ等で買い物ができます。フィッシングページはPaidyの請求を偽装したものでお客様番号、請求月、支払い期限、請求金額等が具体的に表示されています。このフィッシングページへの誘導についてレポートはスミッシングの可能性が高いとしつつもスミッシングの具体的な実態の把握には至っていないようです。
このフィッシングページのドメインはinfo-payeasy[.]comで、このドメインはName[.]comによって登録され、日本でホストされているようです。このドメインは日本の決済サービスであるPay-easyを模倣していると考えられます。Pay-easyは税金や公共料金、ネットショッピングなどの支払いを金融機関のATMやネットバンキングから行えるサービスでPaidyとは異なるサービスです。PaidyとPay-easyという2つの異なる決済サービスを偽装している実態についてレポートは「攻撃者は途中で標的を変更したか、2つの決済サービスに偽装することでマルウェアをより多くインストールさせようとした」との見方をしています。
フィッシングページの下部には、アプリケーションをインストールすることで請求内容の詳細にアクセスできることが表示されており、アプリケーションをインストールすることで悪意のあるAPKが配信されるということです。APK(Android Application package)はAndroidOSでアプリをインストールするための専用ファイルでアプリをインストールする時に自動的にインストールされます。非公式のストアからアプリをインストールすると悪意のあるAPKが配信されるリスクがあり、Paidyを装ったこのフィッシングサイトから請求の詳細を見ようとアプリケーションをインストールすると悪意のあるAPKが配信されてスマホがマルウェアに感染します。
レポートによると、アプリをインストールして権限を付与すると攻撃者はGPSの追跡、カメラと音声のキャプチャ、認証情報のオーバーレイ攻撃、登録済みService Workerを介した任意のコード実行にアクセスできるようになるほか、デスクトップオペレーティングシステムも標的となり、一部の攻撃エージェントにはPowerShellベースのActive Directry列挙ペイロードが含まれており、企業ネットワークも侵害される可能性があるということです。
日本語で記述された攻撃者用ダッシュボード
注目すべきはこれら脅威のツールに日本語が多用されているという点です。例えば攻撃者の管理インターフェースには「CANIS C2-超高度端末識別」と名付けられていてダッシュボードの大部分が日本語で記述されているということです。Hunt.ioのレポートは「認証情報窃盗の誘い文句に特定の言語を用いるのはよくある手口ですが、攻撃者だけが見るために構築されているツールに日本語が使われているため作者は日本人か、日本語を非常に理解している者」と指摘しています。
また、コードコメントが日本語で記述されているコードもあるようです。さらにログからC2をテストしている攻撃者が神奈川県内の所在者である可能性があるとまで指摘しています。この脅威は単なる情報収集にとどまらずAndroid、iOS、Windows、Linux、macOS用のエージェントに加え、キャンバスベースのデバイスフィンガープリンティングシステムやiOSのサンドボックス機構を名前で参照するコードが存在していたということです。そして攻撃者は明らかに日本語に精通しており、コードベースの大部分にLLM(大規模言語モデル)を用いた開発の痕跡が見られる、としています。
【出典】
https://hunt.io/blog/canis-c2-exposed-cross-platform-surveillance-framework-japan