コンテンツにスキップするには Enter キーを押してください

‘Haozi’ ギャングがアマチュア向けにターンキー型フィッシングツールを販売

投稿日 2025年5月29日

Haoziフィッシングダッシュボードのログインページ

Haoziフィッシングダッシュボードのログインページ出典: Netcraft

“Haozi” と名付けられたフィッシンググループが、アマチュア攻撃者向けにターンキー型フィッシングインフラストラクチャを販売しています — コマンドは不要です。

セキュリティベンダーのNetcraftは本日、中国語のフィッシング・アズ・ア・サービス(PhaaS)グループに関する調査結果を発表しました。このグループは、技術的な専門知識がほとんどなくても資格情報を盗むことができるプラグアンドプレイソフトウェアを販売しています。Haoziは他のフィッシング・アズ・ア・サービスグループ、例えばDarculaやDoggoと共存していますが、Haoziは「顧客に優しい」性質で際立っており、漫画のネズミをマスコットにし、アフターサポートを提供しています。

その顧客重視の姿勢は、DragonForceランサムウェアギャングを思い起こさせます。このギャングは、顧客が自分のマルウェアをDragonForceインフラストラクチャ上で使用できるようにしています。

Netcraftの研究者であるHarry EverettとGraham Edgecombeは、Haoziが提供する低い参入障壁がスピアフィッシングのターゲットを増やす可能性があるとDark Readingに語っています。

Haoziの運営

Netcraftの調査によると、見込み客はサーバーを購入し、グループにアクセスを提供します。グループは技術的なスキルを必要とせずにフィッシングキットをインストールします。このキットはサブスクリプションモデルの一部として、暗号通貨Tether(USDT)で約2,000ドルを支払うことで、キャンペーンを管理したり、フィッシングサイトを設定したり、盗まれた資格情報を確認したりするためのパブリックなパネルにアクセスできます。

関連記事:ご意見をお聞かせください: Dark Readingがあなたの意見を求めています

顧客側では、コマンドやインフラストラクチャのセットアップは必要ありません。そしてインフラストラクチャが設定されると、Haoziはフィッシングメッセージを送信する第三者サービスなどに広告を販売し、Haoziが仲介者として取引を仲介します。アフィリエイト構造はなく、初期の一律料金のみです。

“これらの広告や仲介サービスに使用されるTether(USDT)ウォレットは、28万ドル以上を受け取っており、最近の引き出しは頻繁に数千ドルに達しています” と調査は述べています。”Netcraftは、数千のフィッシングホスト名にHaozi管理パネルがインストールされていることを検出しました。”

Netcraftはさらに、Telegramでのアフターサポートの利用を強調しました。グループの初期の姿(Everettによれば約1年前)では、Haoziは約7,000人のメンバーに達した後に閉鎖しました。しかし、4月末の復活以来、1,700人の新しいフォロワーを獲得しています。

“Haoziはアフターサポート、FAQ、リソース共有のための独自のTelegramチャンネルを持つ構造を持っています” とNetcraftは述べました。”彼らはユーザーがチュートリアルを見つけたり、質問をしたり、カスタムフィッシングページを依頼したり、フィッシングインテルを取引したりできるフルサービスのエコシステムを提供しています。どちらの場合も、サポートサービスは副次的な利益ではなく、エンゲージメントとサブスクリプションの更新を促進するために設計された主要な製品機能です。”

関連記事:ZscalerがRed Canaryを買収する契約を発表

防御者の心得

フィッシングに関しては、攻撃に対する最良の防御策は教育、テーブルトップ演習、安全なメールゲートウェイ、強力な脅威インテリジェンスなどです。

しかし、Haoziに特有のものとして、Everettは見込みのあるフィッシングアクターにとっての低い参入障壁がスピアフィッシング攻撃でターゲットにされる可能性のある範囲を広げると言います。スピアフィッシングの努力に対して安全だと考えていた地元の企業が、以前にはなかった方法でターゲットにされる可能性があります。

2025年のフィッシング・アズ・ア・サービスに関して、Netcraftの調査は、これらの「サービス」の人気の高まりが、低レベルの脅威アクターインフラストラクチャの増加するプロフェッショナリズムの変化を反映していると述べています。

“企業のセキュリティチームが侵入試みの検出と対処にますます効果的になるにつれて、攻撃者はソーシャルエンジニアリングとフィッシング詐欺を展開しており、これらの戦術は強化された境界を侵害する必要がありません” とNetcraftは述べました。”PhaaSの提供はスキルの底を下げ、オートメーションとコミュニティサポートを通じてキャンペーンを拡大します。これらの新しいモデルは、サブスクリプション価格、カスタマーサービス、製品更新を備えたSaaSビジネスのように機能し、ブラックマーケットのハッキンググループとは異なります。”

関連記事:Danabotの摘発がロシアのサイバー犯罪に打撃を与える

最新のDark Reading Confidentialポッドキャストをお見逃しなく最もありえない場所でAPTグループを発見した日では、脅威ハンターのIsmael ValenzuelaとVitor Venturaが、高度な持続的脅威を追跡するために使用したトリックや、途中で発見した驚きの話を共有しています。 今すぐ聞く!

翻訳元: https://www.darkreading.com/threat-intelligence/haozi-gang-sells-turnkey-phishing-tools-amateurs

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です