トップ > フィッシング > Silent Librarian--4年間も同じ手法を使い続けたイラン系フィッシンググループ。

Silent Librarian--4年間も同じ手法を使い続けたイラン系フィッシンググループ。

フィッシング

f:id:nanashi0x:20180328204141p:plain

www.bleepingcomputer.com

先週、イラン系のクラッカー集団は世界中の300以上の大学をハッキングしていた容疑で逮捕、起訴された

同集団の呼称は、Mabna Hackersだ・

PhishLabs社が、今回起訴されたクラッカー集団を追跡していたとされ、同社は報告書を3月26日に公表した。

ハッカーは同じ「ライブラリ」を4年間継続して使用

去年PhishLabs社がMabna Hackersの存在に気づいた2014年2月以来、Mabna Hackersはフィッシングメールを継続して4年間使っていたという。

ちなみに、PhishLabs社は追跡を行っている最中は、MabnaHackersに対して「Silent Lbrarian」というコードネームをつけていた。

このブログでは、Silent Librarianという呼称で以下、統一する。

捜査当局がSilent Librarianの起訴に至るまで数年を要した事から、彼らの手口が非常に巧妙だったことが伺える。

Silent Librarianの使用していた電子メールは、大学のネットワークからのメッセージであり、ユーザーに図書館アカウントの再開を求めるメッセージだった。

f:id:nanashi0x:20180328203233p:plain

(アメリカの大学に在籍する大学生に対して送られたフィッシングメールPhishLabsから引用。)

f:id:nanashi0x:20180328203238p:plain

(オーストラリアの大学に在籍する大学生に対して送られたフィッシングメールPhishLabsから引用。)

 

Silent Librarianのフィッシング詐欺

PhishLabs社のThreat IntelligenceディレクターのCrane Hassoldは以下のように語る。

「Silent Librarianによって作成されたフィッシング詐欺用ツールは、一般的なフィッシングメールに比べて本格的。」

「悪意のある電子メールの主な指標の2つであるスペルと文法はほぼ完璧。ルアーのメッセージは文脈上合法。被害者たちが受け取っても全くおかしくない電子メールだった。」

すべての電子メールは、偽装された電子メールアドレスから来たもので、ネットワーク内から来ているように見える。

実在する大学図書館のURLを可能な限り模倣しており、本物ドメインへのリンクも含まれていた。 

f:id:nanashi0x:20180328203520p:plain

(大学が所有する本物のURL。PhishLabsから引用。)

f:id:nanashi0x:20180328203525p:plain

 

電子メールは、ターゲットとする各大学、図書館員の名前、電子メール署名に合わせ、高度にカスタマイズされていた。

 

フィッシングの成功を支えた”巧妙な手口”

「Silent Librarianのフィッシングキャンペーンは、時間の経過に反して、ほとんど変化していません」とHassold氏は語る。

また、同氏は以下のように付け加えた。

「何点かのスペルミスの修正以外では、フィッシングメールの内容は非常に一貫している」

「この一貫性の理由は、これらのルアーを使用したキャンペーンの成功率が十分高く、進化する必要がないということだ」 

FBIの調査では、Silent Librarianは21の外国で144の米国の大学と176の大学を侵害し、31.5テラバイトの学術データと知的財産を盗んだようだ。

Silent Librarianは10万人以上の教授を対象に、8,000件のアカウントを正常に侵害した。この他にも、学生も狙われていたようだ。

 

PhishLabsはアカウント販売するサイトを発見

Silent Librarianは、これらのアカウントのログイン認証情報を収集する事が狙いだったのだ。

盗まれたアカウントは、これらの私立大学ネットワークに保存されている学術研究と知的財産を抽出するために使用されたのである。

Silent Librarianのハッカー達は、盗み出した情報をイランのイスラム革命警備隊(Islamic Revolutionary Guard Corps、略してIRGC)に渡した。

更に、盗まれたアカウントは、Silent Librarianのメンバーの一人が運営する2つのWebサイト(Megapaper.ir(Megapaper)とGigapaper.ir(Gigapaper)でアカウントの販売を行った。

 

また、ハッソルド氏は、FBIが見逃していると思われる第3のウェブサイト(Uniaccount.ir)も発見したとし、ドメインデータによれば、このウェブサイトも先週の9人のハッカーのうちの1人が運営しているという。

f:id:nanashi0x:20180328203917p:plain

(アカウントが販売されていたサイトのトップページ。BleepingComputerから引用。)

 

したがって、同じ手法を使い続けたSilent Librarianのようにフィッシングキャンペーンを成功させた例はめったにない。

だが、フィッシング詐欺を変えないことで、ハッカーたちは、PhishLabsの社員が追跡して操作当局に渡すことが出来てしまった。

そうした意味では、効果的なフィッシングキャンペーンとは言えない。

nanashi0x 読者になる

広告を非表示にする
関連記事

追伸

本日も最後までお読み下さりありがとうございました。

こちらからTwitter上でフォローして頂きますと、最新のセキュリティニュースに触れる事が出来ます。

この記事が気に入ったら
フォロー・購読をお願いします。

読者登録で最新情報をお届けします

コメントを書く