Lazarus関係者?のインフォスティーラー感染ログから見る、攻撃者が利用しているWebサービス
Contents
Lazarus関係者?のインフォスティーラー感染ログから見る攻撃者が利用するWebサービス
一昨日の記事では、Lazarus関係者と思われる者のインフォスティーラーログの話をした。
ここでよくよく考えれば、「trevorgreer9312@gmail[.]com」に関する認証情報が保存されている端末に保存されていた別の認証情報を検索すれば、他のインフォスティーラー感染端末も見つかるんじゃね?という考えに。
つまり、「trevorgreer9312@gmail[.]com」が見つかった端末記録にあったメールアドレスなどを検索すれば、きっと他のインフォスティーラー感染端末も見つかるハズ。
本当にありました。
なので、漏洩認証情報から攻撃者が利用するWebサービスを分析?してみました。
まずは前回の「trevorgreer9312@gmail[.]com」の端末に関して
前回の記事的な感じ。
「trevorgreer9312@gmail[.]com」の認証情報が保存された端末には、以下の攻撃に使ってそうなWebサービスの認証情報があった。
・Namecheap
ドメイン登録、ホスティング等のサービス。ホスティングの旨味はあんまりないので、攻撃に使ったドメインを登録していたのでは。
・ultahost
ドメイン登録、ホスティング等のサービス。攻撃サーバを立てていたんでしょうかね。
・monovm
ここでも、ドメイン登録、ホスティング等のサービス。
ちなみに以下が「trevorgreer9312@gmail[.]com」の認証情報が保存された端末情報。
- OS Version: Windows 10 Pro (10.0.19045) x64 - Local Date: 29.07.2024 16:47:01 - Time Zone: UTC-7 - Install Date: 22.07.2024 18:13:14 - Computer: DESKTOP-V6HEEFH - User: Administrator - Domain: - Hostname: DESKTOP-V6HEEFH - NetBIOS: DESKTOP-V6HEEFH - Language: en-US - Anti Virus: - Windows Defender - HWID: 11B26098D196D30BB12F340A307F00C5 - RAM Size: 16384MB - CPU Vendor: GenuineIntel - CPU Name: 12th Gen Intel(R) Core(TM) i7-12700 - CPU Threads: 20 - CPU Cores: 10 - GPU: Intel(R) UHD Graphics 770 - Display resolution: 1920x1080 - IP Address: [REDACTED] - Time: 30.07.2024 02:47:05 (sig:1722296825.f98af3499a2b4e03e1a590dc83435cf7) - Country: US
「ezyeasley126@gmail[.]com」
上記のDESKTOP-V6HEEFHにて発見され、ブラウザ保存認証情報で使用されていたメールアドレスの一つ。
このメールアドレスが他のインフォスティーラーログでも確認された。以下端末情報。
- OS Version: Windows 11 Pro (10.0.22621) x64 - Local Date: 07.01.2025 14:02:26 - Time Zone: UTC+1 - Install Date: 27.02.2024 01:44:24 - Elevated: true - Computer: DESKTOP-9NAJ6I8 - User: Administrator - Domain: - Hostname: DESKTOP-9NAJ6I8 - NetBIOS: DESKTOP-9NAJ6I8 - Language: en-US - Anti Virus: - Total AV [OFF] - HWID: 8286398DFB3DBA4ABEBA0C6A975F1733 - RAM Size: 16384MB - …
一昨日の記事では、Lazarus関係者と思われる者のインフォスティーラーログの話をした。
ここでよくよく考えれば、「trevorgreer9312@gmail[.]com」に関する認証情報が保存されている端末に保存されていた別の認証情報を検索すれば、他のインフォスティーラー感染端末も見つかるんじゃね?という考えに。
つまり、「trevorgreer9312@gmail[.]com」が見つかった端末記録にあったメールアドレスなどを検索すれば、きっと他のインフォスティーラー感染端末も見つかるハズ。
本当にありました。
なので、漏洩認証情報から攻撃者が利用するWebサービスを分析?してみました。
まずは前回の「trevorgreer9312@gmail[.]com」の端末に関して
前回の記事的な感じ。
「trevorgreer9312@gmail[.]com」の認証情報が保存された端末には、以下の攻撃に使ってそうなWebサービスの認証情報があった。
・Namecheap
ドメイン登録、ホスティング等のサービス。ホスティングの旨味はあんまりないので、攻撃に使ったドメインを登録していたのでは。
・ultahost
ドメイン登録、ホスティング等のサービス。攻撃サーバを立てていたんでしょうかね。
・monovm
ここでも、ドメイン登録、ホスティング等のサービス。
ちなみに以下が「trevorgreer9312@gmail[.]com」の認証情報が保存された端末情報。
- OS Version: Windows 10 Pro (10.0.19045) x64 - Local Date: 29.07.2024 16:47:01 - Time Zone: UTC-7 - Install Date: 22.07.2024 18:13:14 - Computer: DESKTOP-V6HEEFH - User: Administrator - Domain: - Hostname: DESKTOP-V6HEEFH - NetBIOS: DESKTOP-V6HEEFH - Language: en-US - Anti Virus: - Windows Defender - HWID: 11B26098D196D30BB12F340A307F00C5 - RAM Size: 16384MB - CPU Vendor: GenuineIntel - CPU Name: 12th Gen Intel(R) Core(TM) i7-12700 - CPU Threads: 20 - CPU Cores: 10 - GPU: Intel(R) UHD Graphics 770 - Display resolution: 1920x1080 - IP Address: [REDACTED] - Time: 30.07.2024 02:47:05 (sig:1722296825.f98af3499a2b4e03e1a590dc83435cf7) - Country: US
「ezyeasley126@gmail[.]com」
上記のDESKTOP-V6HEEFHにて発見され、ブラウザ保存認証情報で使用されていたメールアドレスの一つ。
このメールアドレスが他のインフォスティーラーログでも確認された。以下端末情報。
- OS Version: Windows 11 Pro (10.0.22621) x64 - Local Date: 07.01.2025 14:02:26 - Time Zone: UTC+1 - Install Date: 27.02.2024 01:44:24 - Elevated: true - Computer: DESKTOP-9NAJ6I8 - User: Administrator - Domain: - Hostname: DESKTOP-9NAJ6I8 - NetBIOS: DESKTOP-9NAJ6I8 - Language: en-US - Anti Virus: - Total AV [OFF] - HWID: 8286398DFB3DBA4ABEBA0C6A975F1733 - RAM Size: 16384MB - …
IoC
11B26098D196D30BB12F340A307F00C5
e49113011bf68eb495243b964e016fb2
854E7FEB5D5AD222668E740320127A88
fb7c07c1d9c6f497434bc35738bb1c6f
f98af3499a2b4e03e1a590dc83435cf7
8286398DFB3DBA4ABEBA0C6A975F1733
e49113011bf68eb495243b964e016fb2
854E7FEB5D5AD222668E740320127A88
fb7c07c1d9c6f497434bc35738bb1c6f
f98af3499a2b4e03e1a590dc83435cf7
8286398DFB3DBA4ABEBA0C6A975F1733