ファウリー、エジプト郵便、Careemなど、主要なエジプトのサービスプロバイダーになりすました不正ドメインの集団が、最近の脅威ハンティング作戦中に特定されました。
Dark Atlasによる発見は、大規模なSMSフィッシング作戦で知られる中国語話者のサイバー犯罪グループスミッシング・トライアドによって運営されている拡大中のキャンペーンを示しています。
これらのドメインは、個人および組織の両方を標的とした詐欺やデータ収集スキームを支援するために設計されているようです。
新たな悪意のあるドメイン
アナリストがグループのインフラからのHTTPヘッダーを調査し、その指標を用いてShodanでターゲット検索を行った結果、新たな悪意のあるドメインが発見されました。
このプロセスにより、特にTencentの施設に関連するインフラブロックAS132203内で、グローバルブランドや金融プラットフォームを模倣した追加のドメインが明らかになりました。
アナリストは、同じネットワーク空間がUnionPay、TikTok、その他のサービスを偽装するページのホスティングにも利用されていることを発見し、トライアドが共有ホスティングリソースに広く依存していることを示しています。
世界的なスミッシング動向の詳細はこちら:スミッシング・トライアドがグローバル攻撃のためにツールと戦術を強化
調査ではまた、グループがTelegramを利用してフィッシング・アズ・ア・サービスの提供を宣伝・販売していることも浮き彫りになりました。
過去のTelegramチャンネルから、アナリストは「wangduoyu8」と特定されたメンバーによるビデオにたどり着き、グループのカスタマイズ可能なスミッシングキットが紹介されていました。これらのキットは仮想サーバーに迅速に展開でき、複数地域の被害者を標的とするフィッシングテンプレートを自動的に展開・設定します。
キットには有名ブランドを模倣した国際的なテンプレートが含まれています。調査で確認された例は以下の通りです:
-
DHL、Evri、UPSを装った偽の配達通知
-
AT&T、Movistar、Vodafoneを模倣した通信料金通知
-
USPS、GOV.UK、エジプト郵便に関連する政府および郵便サービスのメッセージ
Darculaによる競争の激化
同じDark Atlasのアドバイザリーで詳述されている別の関連動向として、Darculaという、100カ国以上で2万以上のなりすましドメインを運営する大規模なPhaaS(フィッシング・アズ・ア・サービス)プラットフォームがあります。
Netcraftによると、アップグレード版のDarcula 3.0は、検知回避機能、強化された管理パネル、カードクローンツール、AI駆動の自動化機能を導入し、運営者がワンクリックでフィッシングページを構築できるようになりました。アナリストは、これらのアップグレードによりフィッシングの件数がさらに増加すると警告しています。
調査チームによれば、スミッシング・トライアドとDarculaのような新興PhaaSサービスの両方が、世界的なフィッシング作戦の高度化を示しています。
「我々の調査は、これらのキャンペーンがもたらすリスクを軽減するために、積極的な脅威ハンティング、フィッシングインフラの継続的な監視、ユーザーの意識向上の重要性を強調しています」とDark Atlasは警告しています。
「サイバー犯罪者が革新を続ける中で、彼らの戦術、技術、手順を理解することは、強固な防御を構築し、世界中の機密情報を保護するために不可欠です。」
画像クレジット:Tamar A Soliman / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/smishing-triad-campaigns-expand/
