フィッシング攻撃

2022年4月9日、ある悪質な人物がフィッシング攻撃を仕掛けました。Low End Talkで告知されていた通り、複数の25230メンバーがフィッシングメールを受信しました。

フィッシングメールには、25230のメンバーはアカウントのパスワードを認証する必要があると虚偽の記載があり、その後、ウェブフォームにメールアドレスと25230のパスワードを入力するよう求められました。

おそらく、これらの偽の指示に従った人は誰でもパスワードを攻撃者に渡してしまったと考えられます。25230のメンバーは、25230サポートデスクにパスワードのリセットを依頼できます。

これを実行したブラックハットは誰だったのでしょうか？ 私たちローエンド探偵は5分でどれだけ彼について調べられるでしょうか？ かなりたくさんです！

フィッシングメールを告知した元のLETスレッドのタイトルは「⚠️ 注意: 「25230.cc」からの偽メール ⚠️」でした。

スレッドのタイトルを見るだけで、フィッシングメールは25230.ccというドメインから送信されたことがわかります。この情報からどれだけのことがわかるか見てみましょう。

hostコマンド

まず、インターネットシステムコンソーシアム（ISC）のhostコマンドを使ってみましょう。host hostは、25230.ccのようなhost名に関連付けられたIPv4およびIPv6の数値アドレスを表示します。また、ドメインに関連付けられたメールMTA（メッセージ転送エージェント）サーバーの数値IPアドレスも表示します。

一緒に進めたいが、Debianシステムにhostとwhoisとdigがインストールされていない場合は、以下をインストールしてください。

# apt-get update && apt-get install dnsutils whois


hostとdig両方ともdnsutilsによって提供されます。whois whois別のパッケージです。

以下に示す結果は、2022 年 4 月 9 日に確認されたものです。この記事のコマンドを実行した現在の結果は異なる可能性があることに注意してください。


bash:~$ host 25230.cc
25230.cc has address 185.244.37.218
25230.cc mail is handled by 10 mail.25230.cc.
bash:~$


上記の結果から、2022 年 4 月 9 日に確認した時点で、25230.cc には IPv4 アドレスが 1 つあり、IPv6 アドレスはなく、mail.25230.cc という名前の電子メール MTA が 1 つあったことがわかります。

whoisコマンド

次に、 whoisコマンドを使用して 25230.cc の IPv4 アドレスを調べてみましょう。


bash:~$ whois 185.244.37.218
[ . . . ]
person: SpectraIP BV
[ . . . ]
address: NETHERLANDS
[ . . . ]
route: 185.244.37.0/24
[ . . . ]
origin: AS62068
[ . . . ]
bash:~$


whois複数行の情報が表示され、その中から5行が抽出されています。これらの5行から、問い合わせられたIPアドレスがオランダのSpectraIP BVに割り当てられたサブネットの一部であることがわかります。

SpectraIPのサブネットの自律システム番号（ASN）はAS62068です。25230.ccにアクセスすると、サーバーがSpectralIPのネットワーク内にあることがわかります。

whoisコマンド再び

次に、もう一度whois使用して、25230.cc の電子メール MTA で使用されている IP アドレスについて何がわかるかを確認してみましょう。

bash:~$ whois 23.95.140.153
[ . . . ]
CIDR: 23.94.0.0/15
[ . . . ]
NetType: Direct Allocation
OriginAS: AS36352
Organization: ColoCrossing
[ . . . ]
NetType: Reassigned
OriginAS: AS36352
Customer: RackNerd LLC
[ . . . ]
bash:~$


上記の結果から、25230.cc の電子メール MTA サーバーは、ColoCrossing が所有し、RackNerd に再割り当てられた IP アドレスを使用していたことがわかります。

digコマンド

ここで、 digを使用して 25230.cc ドメインのSender Policy Framework (SPF) レコードを確認してみましょう。

bash:~$ dig 25230.cc txt
[ . . . ]
;; ANSWER SECTION:
25230.cc. 1799 IN TXT "v=spf1 a mx include:relay.mailbaby.net ~all"
[ . . . ]


SPF レコードによると、25230.cc はInterserver のmail.babyサービスを使用して 25230.cc のフィッシング メールを送信しようとしていた可能性があります。

議論

上記の情報に基づくと、フィッシングメールは元々Racknerdでホストされているサービスから送信された可能性があります。フィッシングメールはmail.baby経由で送信された可能性があります。フィッシングウェブサイトはSpectraIP内のサーバーでホストされている可能性があります。

上記のすべては、LET アナウンス スレッドのタイトルに提供された 1 つの情報 (ホスト名 25230.cc) に基づいて、5 分以内に判断できました。

おそらくRackNerdは、メールの送信元IPアドレスでサービスを利用している人物の身元情報を保有していると考えられます。あるいは、25230.ccのウェブサイトのIPアドレスがSpectraIPのネットワーク内にあったため、SpectraIPが攻撃者の身元情報を保有している可能性もあります。

フィッシングメールのヘッダーを調査すれば、さらなる情報が得られる可能性があります。25230チームは確かにそうしたはずです。しかし、Low End Detectivesは元のメールについて召喚状をまだ発行していません。

Low End Detectivesは、フィッシングメールの「アカウントを確認」ボタンの標的となったIPアドレスをまだ把握していません。このIPアドレスが上記のSpectraIPアドレスだった可能性はありますが、それ以上の情報がないため、確証はありません。

攻撃者の身元を特定することに加え、今回の攻撃から生じる主要な課題としては、フィッシングメールの拡散を阻止し、漏洩した可能性のあるパスワードによる被害を軽減することが挙げられます。さらに、既に配信されたフィッシングメールによるさらなる侵害を防ぐための対策も必要となる可能性があります。25230チームは、今後の攻撃を防ぐための追加対策を検討いたします。

この問題を解決していただいた25230チームの皆様に心よりお見舞い申し上げます。素晴らしいご尽力に感謝申し上げます。また、フィッシングメールを受け取った25230メンバーの皆様にも心よりお見舞い申し上げます。

この記事の冒頭にある画像に写っているのは、サー・アーサー・コナン・ドイルです。もしサー・アーサーが生きていたら、きっと有名な探偵シャーロック・ホームズに、機密情報を求めるメールのヘッダーを必ず確認するように、そしてパスワードを安全に保管するようにと、私たちに言い聞かせたことでしょう。