研究者たちは、被害者を騙すためにテキストメッセージを利用する長期にわたるフィッシングキャンペーンを発見しましたが、その規模はこれまで考えられていたよりも大きく、より複雑であることが判明しました。この作戦は「Smishing Triad」と名付けられ、中国語で運営されており、数千人の悪意ある関係者が関与し、その中には数十人の活発で高レベルな参加者も含まれていると、Palo Alto Networksの研究部門がCyberScoopに語りました。
Unit 42は、2024年1月以降、この高度に分散化されたフィッシング作戦に約195,000のドメインが関連していることを突き止めました。研究者によると、悪意あるドメインの3分の2以上が、香港に拠点を置くレジストラDominet (HK) Limitedを通じて、中国を拠点とするドメインネームシステムインフラを利用して登録されています。
攻撃ドメインの大半(58%)は米国に拠点を置くIPアドレスでホストされており、21%は中国、19%はシンガポールに存在します。グローバルなフィッシング作戦は、国民識別番号、住所、金融情報、認証情報などの機密情報を収集することを目的としていると、Unit 42は述べています。
ハイフンで区切られた文字列とトップレベルドメインを含むこれらの悪意あるドメインは、被害者に正規のサイトを訪れていると誤認させます。これらのドメインは、有料道路サービス、多国籍金融サービスおよび投資会社、eコマース市場や暗号通貨取引所、医療機関、法執行機関、ソーシャルメディアプラットフォームなど、多くの重要な分野のサービスになりすまします。
Smishing Triadは時間とともに戦術を変化させ、作戦を支援するために様々な専門家を取り入れてきました。これには、データブローカー、ドメイン販売業者、ホスティングプロバイダー、フィッシングキット開発者、プラットフォームプロバイダー、モバイルメッセージングアプリを通じてフィッシング誘導を送信するスパマー、ターゲット可能な有効な電話番号を確認するサポートスタッフなどが含まれます。
同グループの中国語のTelegramチャンネルは、その基盤となるインフラが効果的であるため、多くの関係者を引き付けており、他の脅威グループも広範囲に利用されているフィッシングキットを頼りにしていると、Palo Alto Networksの主任研究員Zhanhao Chen氏は述べています。
この作戦は、専用のフィッシングキットマーケットプレイスとして始まり、大規模なフィッシングエコシステムを支える活発なコミュニティへと成長しました。
Smishing TriadのTelegramチャンネルは、過去6か月間で専用のフィッシングキットマーケットプレイスから活発なコミュニティへと進化し、フィッシングエコシステム全体から脅威アクターを引き寄せています。
Unit 42は、この作戦からどれだけ多くの人がフィッシングメッセージを受け取ったかは把握していません。しかし、研究者たちはグループのインフラやドメインの一部、使用されているフィッシングキット、トラフィック量、ドメイン命名規則の変化を追跡することで、どのターゲットが狙われているかを特定しています。
「この技術やグループにどれだけの被害者がいるか、必ずしも分かっているわけではありません」とPalo Alto Networksの上級研究員Reethika Ramesh氏は述べています。「しかし、ドメイン数は日々増加しており、さまざまなインフラを使い回していること、そしてドメインへのクエリの大半が米国IPアドレスでホストされたドメインに向けられていることは分かっています。」
研究者によると、米国郵便公社が最もなりすまされているサービスで、28,000以上のドメインに及びます。有料道路機関は最もなりすまされているカテゴリで、これらのサービスは約90,000のドメインに関連しています。
Unit 42によれば、この作戦は現在も活動中で進化しており、過去数か月間で米国内国歳入庁や州税務機関になりすます傾向が強まり、govを含むドメインプレフィックスの登録が大幅に増加していることが観察されています。研究者たちは6月以降、このキャンペーンに関連する新たなドメインを37,000以上追跡しています。
Smishing Triadに関連するドメインの寿命は短く、29%が2日未満、71%が1週間未満、83%が2週間以内に廃棄されているとUnit 42は述べています。
この作戦の現実世界での影響は追跡が難しく、また多くの場合遅れて現れる可能性があります。なぜなら、フィッシングサイトの多くは、後続の攻撃のためにデータを盗むことを目的としているからです。
「彼らがどれだけのメッセージを送信しているのか、どれだけの人が受け取っているのかは分かりません」とRamesh氏は述べています。「彼らは確実にデータを収集し、後で利用するつもりです。」
翻訳元: https://cyberscoop.com/unit-42-chinese-language-phishing-operation-smishing-triad/
