Lazarus関係者？のインフォスティーラー感染ログから見る攻撃者が利用するWebサービス

一昨日の記事では、Lazarus関係者と思われる者のインフォスティーラーログの話をした。

ここでよくよく考えれば、「trevorgreer9312@gmail[.]com」に関する認証情報が保存されている端末に保存されていた別の認証情報を検索すれば、他のインフォスティーラー感染端末も見つかるんじゃね？という考えに。

つまり、「trevorgreer9312@gmail[.]com」が見つかった端末記録にあったメールアドレスなどを検索すれば、きっと他のインフォスティーラー感染端末も見つかるハズ。

本当にありました。

なので、漏洩認証情報から攻撃者が利用するWebサービスを分析？してみました。

まずは前回の「trevorgreer9312@gmail[.]com」の端末に関して

前回の記事的な感じ。

「trevorgreer9312@gmail[.]com」の認証情報が保存された端末には、以下の攻撃に使ってそうなWebサービスの認証情報があった。

・Namecheap
ドメイン登録、ホスティング等のサービス。ホスティングの旨味はあんまりないので、攻撃に使ったドメインを登録していたのでは。

・ultahost
ドメイン登録、ホスティング等のサービス。攻撃サーバを立てていたんでしょうかね。

・monovm
ここでも、ドメイン登録、ホスティング等のサービス。

ちなみに以下が「trevorgreer9312@gmail[.]com」の認証情報が保存された端末情報。

- OS Version: Windows 10 Pro (10.0.19045) x64
- Local Date: 29.07.2024 16:47:01
- Time Zone: UTC-7
- Install Date: 22.07.2024 18:13:14
- Computer: DESKTOP-V6HEEFH
- User: Administrator
- Domain: 
- Hostname: DESKTOP-V6HEEFH
- NetBIOS: DESKTOP-V6HEEFH
- Language: en-US
- Anti Virus:
    - Windows Defender
- HWID: 11B26098D196D30BB12F340A307F00C5
- RAM Size: 16384MB
- CPU Vendor: GenuineIntel
- CPU Name: 12th Gen Intel(R) Core(TM) i7-12700
- CPU Threads: 20
- CPU Cores: 10
- GPU: Intel(R) UHD Graphics 770
- Display resolution: 1920x1080

- IP Address: [REDACTED]
- Time: 30.07.2024 02:47:05 (sig:1722296825.f98af3499a2b4e03e1a590dc83435cf7)
- Country: US

「ezyeasley126@gmail[.]com」

上記のDESKTOP-V6HEEFHにて発見され、ブラウザ保存認証情報で使用されていたメールアドレスの一つ。

このメールアドレスが他のインフォスティーラーログでも確認された。以下端末情報。

- OS Version: Windows 11 Pro (10.0.22621) x64
- Local Date: 07.01.2025 14:02:26
- Time Zone: UTC+1
- Install Date: 27.02.2024 01:44:24
- Elevated: true
- Computer: DESKTOP-9NAJ6I8
- User: Administrator
- Domain: 
- Hostname: DESKTOP-9NAJ6I8
- NetBIOS: DESKTOP-9NAJ6I8
- Language: en-US
- Anti Virus:
    - Total AV [OFF]
- HWID: 8286398DFB3DBA4ABEBA0C6A975F1733
- RAM Size: 16384MB
- CPU Vendor: 
- CPU Name: Intel(R) Core(TM) i7-6700HQ CPU @ 2.60GHz
- CPU Threads: 8
- CPU Cores: 4
- GPU:
    - Intel(R) HD Graphics 530
- Display resolution: 1920x1080

- IP Address: [REDACTED]
- Time: 07.01.2025 16:03:15 (sig:1736254995.e49113011bf68eb495243b964e016fb2)
- Country: US

他にもあったが、見るのが面倒になってしまったのでとりあえずこれだけ。

この端末上では、朝鮮語の名前表記がある一方で、英語表記の全く異なる名前を使用しているのが見られた。まるで、シンガポールの大学を卒業していて、シンガポールに住んでいるような。

そして、ブラウザ保存情報はとにかく世界中のありとあらゆる求人、転職、就活系サービスに関するものが殆どを占めている。本当に世界中のあらゆる仕事探す系サービスに登録して仕事を探している。アメリカ、南アメリカ、アジア、ヨーロッパ、もうどこでも。いやぁ、本当に凄い。そこまで、就活本気かぁ。

そうかぁ、じゃあ仕事を探している善良な若者なのかなぁ？と思ったそこのあなた。

以下、悪用予想Webサービス一覧をご覧ください。

・sendgrid
マーケティング用メール配信サービス。フィッシングメールのばら撒きに使ってそう。

・textnow
SMS&電話番号サービス。特に身分証明無くとも、お金を払えばSMSと電話番号が使える。気軽に匿名でSMSや電話を使ってそう。不正アクセスの準備段階でアカウント作成に使用するのでは？

・Hostinger
ドメイン登録、ホスティング等のサービス。ということは？

・QQ.com
メールとかメッセージとか色々コミュニケーションサービス。スパムメール配信とか、マルウェア配信に使われた可能性もある。

・Deepswap
生成AIを使用した画像や動画の顔編集サービス。これはもう絶対面接とか、SNSとかで使ってるよ絶対。人の情報勝手にパクッて、自分の履歴書にしてると思います。

・PDF417.Pro
アメリカの身分証明書系で使用される二次元バーコード(PDF417)の生成サービス。もうサービスの存在自体がアウトですね。

・ProxySite.com
フリーのWebプロキシサービス。Torとかを経由しない匿名化のために使っていると思います。だが、フリーは信用できないので、どのような場合に使うんだろ。

・Trust ID Card
様々な国のパスポートや運転免許証、卒業証明書などの生成サービス。アウトですね。

・Proton
皆大好き、匿名サービス。メールやVPNを無料で使える。普通に使ってるかもしれないが、ランサムウェアの身代金要求とかでも使われる。

・AWS
AWS。普通に契約しようと思ったら、色々個人情報渡さないといけないので、先の身分証明書系偽造サービスを使って登録しているか、代行業者を通じて登録していると思われる。

・Astrill VPN
そろそろ毎度お馴染みになってきた、迅速、安全、匿名のVPN。Lazarusでは大人気。

・Fakedocshop
書類生成サービス。運転免許証、請求書、パスポートに多数対応。アウトです。

・Oculus Proxies
プロキシサービス。データセンター以外にレジデンシャルプロキシと言われる一般家庭のようなIPアドレスも利用できるもの。不正アクセスの際に一般ユーザを装うのに使用しているだろう。

・Nord VPN
VPNサービス。Nordアカウントはパスワード管理など他のサービスも利用できる。Protonみたいな使い方で悪用していると思われ。

・Amazon Sellerアカウント
Amazon出品用アカウント。具体的にどのように使われているかは分からん。もしかしたら偽造製品で小遣い稼ぎをしているかもしれないし、世界中の仲間たちに物品を送るのに使用しているかもしれない。

・truthfinder
アメリカのソーシャル メディア、写真、警察記録、身元調査、民事判決、連絡先情報など、さまざまな情報をフルネームと住んでいる州の情報から検索できるらしい。これを使って人になりすますわけですね。てか、このサービスそういう使われ方しかしないんじゃないか？

・DECODO
プロキシサービス。レジデンシャルプロキシ有り。スクレイピング用のAPIサービスも展開しているようだ。どうせ悪いことに使ってるでしょ。

・PrivateEmail
独自ドメインのメールアドレスを使えるサービス。といってもドメインはnamecheapで買ったものを使用する必要があるようだ。ドメインは自分で買って他のことにも使えた方が良いし、ドメインレジストラによっては独自ドメインメールなんて付帯サービスで無料でついてる。このサービス要る？

・SuperTokens
認証フォームやログインフォームをAIに指示して簡単に作れるサービス。確かにログインフォームってサービスによって、どうやって作成するか迷うことってあると思う。でもこれ、フィッシングフォーム自動生成とかに使われないですかね。

・Infura
Web3、ブロックチェーン系のAPI開発サービスと思われる。ここではきっと、様々なブロックチェーン攻撃用APIが作成されているのだろう。

・anonymous PROXIES
HTTPとSOCKS5プロキシサービス。

・Bitrefill
ギフトカード、eSIM、旅行券、電話番号を仮想通貨で購入できるサービス。匿名な支払い方法ができるということですね。悪用の臭いしかしません。電話番号は自分が指定した好きな番号を購入できるらしい？？？？？？？

・Kikoff
支払い系の連携ページを簡単に作成できるサービス。フィッシングに悪用されているのでは。

・AirDroid
Android端末のリモート操作アプリ。勝手に誰かの端末に入れてリモート操作しているのか。それとも、リモートワークの職を手に入れた国にスマホを設置して、国内に居るように見せかけてリモート操作するために使っているのか。

・Franz
様々なメッセージングアプリを統合管理するアプリケーション。便利だなと思う一方で危険ではないかとも思う。偽身分でのリモートワーク管理用と推測。

・infatica.io
プロキシ＆スクレイピングサービス。

・LocalCoinSwap
仮想通貨の変換サービス。悪い人たちは、こういうところで仮想通貨を別の仮想通貨に変換することで追跡されないようにしています。

・hover
ドメイン購入、メールアドレス利用サービス。

・npm
npmパッケージ管理。もしかして、攻撃者のアカウントにログインすれば攻撃やフィッシング用に用意されたパッケージを一掃できるのでは？

・ngrok
お手軽にインターネットにポートを公開可能なサービス。開発者界隈ではテストアプリを一時的に外部からアクセスするテストに使うようだ。ペネトレーションテスト界隈では、グローバルIPの無い環境に対してリバースシェルするために利用するイメージしかない。だからきっとそういうこと。

・Cryptolotto.world
Bitcoinのシードフレーズをマイニングするサービス？古くて放置されたウォレットのシードフレーズを引き当てれば宝くじ当選！みたいなサービスの文句ようだ。言わんとしていることは分かるが、サービスとしては釣り系の偽サービスにしか見えない。もしかして、あなた作りました？

・SMSPool
SMSメッセージ受取サービス。

・IPCOLA
レジデンシャルプロキシサービス。そのネーミングセンス、何？

・TeamViewer
リモート操作アプリケーション。リモートワークのリモートワーク用ですね。つまり、アメリカの企業に就職した際に、アメリカにPCを置く拠点を作って、そこにリモート操作アプリケーションでログインして、アメリカの企業でリモートワークするやつです。

・AnyDesk
リモート操作アプリケーション。TeamViewerと用途は一緒でしょう。

・Airbnb
民泊サービス。つまり、リモートワークする現地とかに下見に行っているということ？ドメインがイギリスだから、イギリスの民泊の可能性が。自分が警察だったら、こういうところから地道に追いかけたら捕まえられそうな気がするな。

・sms ACTIVATE
SMSメッセージ受取サービス。

・Notion
ドキュメント管理サービス。皆、Notion好きっすね。私も好きです。

こうやって、世界中で侵入する企業の面接を受けているんだなぁ。

topsdev126

「trevorgreer9312@gmail[.]com」の端末に保存された認証情報で他のメールアドレスでは、異なる端末のインフォスティーラーの端末は見つからなかったが、ユーザ名で別のインフォスティーラーの端末を確認した。

- OS Version: Windows 10 Pro (10.0.19045) x64
- Local Date: 21.11.2024 18:48:43
- Time Zone: UTC+2
- Install Date: 15.07.2024 06:04:52
- Elevated: true
- Computer: DESKTOP-L45SP5T
- User: dominator
- Domain: 
- Hostname: DESKTOP-L45SP5T
- NetBIOS: DESKTOP-L45SP5T
- Language: en-US
- Anti Virus:
    - Windows Defender
- HWID: 854E7FEB5D5AD222668E740320127A88
- RAM Size: 16384MB
- CPU Vendor: GenuineIntel
- CPU Name: 11th Gen Intel(R) Core(TM) i5-1135G7 @ 2.40GHz
- CPU Threads: 8
- CPU Cores: 4
- GPU: Intel(R) Iris(R) Xe Graphics
- Display resolution: 1920x1080

- IP Address: [REDACTED]
- Time: 21.11.2024 19:48:47 (sig:1732207727.fb7c07c1d9c6f497434bc35738bb1c6f)
- Country: FI

以下、悪用予想Webサービス一覧。

・faceless
ダークウェブ界隈では有名なプロキシサービス。マルウェア感染させたルータをプロキシにしていた。既にお払い箱になりました。

・MobileSMS.io
SMSメッセージ受取サービス。

・ResidentialVPS
レジデンシャルプロキシ&VPSサービス。レジデンシャルってVPSサービスもあるんですね。意味わからん。

・HostGator
ホスティングサービス。一般的なサービス。

・textverified
SMSメッセージ受取サービス。

・LunaProxy
レジデンシャルプロキシサービス。

・SMSCODES.IO
SMSメッセージ受取サービス。

・WEBSHARE
プロキシサービス。

・IPRoyal
レジデンシャルプロキシサービス。

・FelixMerchant
SMSメッセージ受取サービス。

・POWERVPS
VPSサービス。bullet-proof味のあるサービス。超怪しい。

攻撃するやつは、自分も攻撃される側であることを考えないんですかね

色々なサービスがあったが、悪そうなサービスほどクリアウェブで運営されているものは偽サービスのことが多い気がする。

基本的にクリアウェブで本当に悪いことをしているようなサービスは、きっと国際的に警察機関がどうにかしてくれるハズなので、クリアウェブに残っているのは基本偽サービス。

主目的が悪いようなものでないサービスは何とも法執行機関的に手を出しにくいと思うので、どうすりゃいいんでしょうね。