Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

図書館へのサプライチェーン攻撃

大学だけでなく、図書館もハッカーに狙われる対象となりつつある様です。

threatpost.com

 

Cobalt Dickens(別名Silent Librarian)は現在、380の大学を積極的にターゲットとしており、資格情報を盗み、学校のネットワークに深く入り込んでいます。

大規模なキャンペーンを示しており、オーストラリア、カナダ、香港、スイス、英国、米国の60を超える大学を標的とする少なくとも20の新しいフィッシングドメインが現れ、学校に戻る生徒の資格を引き上げることに傾注しています。

ドメインは、Cobalt DickensまたはSilent Librarianとして総称されるイランのサイバー攻撃者のグループに関連付けられています。Threatpostが最近グループの攻撃戦術に関する投稿で報告したように、攻撃者は偽のライブラリをテーマにしたランディングページを使用して学生の資格情報を盗み、それらを使用して知的財産を盗み、転売し、組織内で横方向に動き、内部フィッシングを実行しようとしていますもっと。

今週、Secureworks Counter Threat Unit(CTU)の研究者による新しい詳細は、合計で、コバルトディケンズが30か国以上の少なくとも380の大学を積極的に標的にしていることを示しています。多くの大学が複数回標的にされている、と同社は述べた。

(Threat Post記事より引用)※機械翻訳

 

◆キタきつねの所感

大学が狙われている事については、何度か記事に書きましたが、大学も一般企業と同じで、サプライチェーンが狙われる様になってきました。

foxsecurity.hatenablog.com

 

攻撃対象の中に日本が(まだ)入ってないのは、初期キャンペーンが英語での攻撃(日本語の壁)という部分があるのかも知れません。しかし日本まで波及してくるのは時間の問題な気もします。なぜなら、攻撃が偽ページからの資格情報窃取という手口が使われているからです。

 

攻撃は、標的となる大学に関連付けられたリソースのなりすましログインページへのリンク(正当なURLを含む)を含むメッセージから始まります。リンクをクリックする受信者は、偽装されたライブラリリソースと同一または類似のWebページに誘導されます。被害者が資格情報を入力すると、Webブラウザーはnext.phpファイルにリダイレクトされ、ここで資格情報はpass.txtファイルにローカルに保存されます。その後、被害者のブラウザはなりすましの正当なサイトに送信されます

CTUの分析は、Cobalt Dickensがこれを実行するために使用するツールに関して、車輪の再発明も投資もしていないことを示しています。新しいフィッシングドメインは、Freetopドメインプロバイダーを使用して登録されました。また、攻撃者は、無料の証明書や公開されているコードなど、他の無料のオンラインサービスも使用しています。

(Threat Post記事より引用)※機械翻訳

 

フィッシングメールで、正規の大学図書館らしきページ(オリジナルからサイトコンテンツはコピーしているので本物そっくり)に誘導し、認証情報を窃取し、最後は正規のページに戻します。。。

 

この攻撃手法、どこか日本のECサイトEC-CUBE)への攻撃と似ている気がしませんでしょうか?

 

フィッシングで最初に飛ばされるサイトが偽サイトな部分は違いますが、認証情報を取った後に正規のページに飛ばす(エラー表示してもう一度入力・・・とされると気づかれにくい)部分は、同じ様な攻撃に見えます。もっと言えば、図書館サイト本体の侵害が何らかの形で成功すれば、攻撃者は(成功率が低い)フィッシングメールといったまどろっこしい手段を取らずに、こっそりとJavaScriptを本物の認証ページに仕掛かけられれば、長期間認証情報を窃取する事が可能になるかも知れません。

 

今後要警戒かと思います。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20190914162819p:plain


 

更新履歴

  • 2019年9月14日PM(予約投稿)