概要:学校テーマで隠蔽された新たな脅威
サイバーセキュリティ研究者たちは、教育機関をテーマにしたドメインを巧妙に悪用し、フィッシング、詐欺、マルウェアを配信する新たな「防弾」トラフィック分散システム(TDS)を発見しました。この複雑なインフラは、攻撃が検知されにくく、かつ永続的に運用されるように設計されており、ユーザーは細心の注意が必要です。
最初の段階で発見されたJavaScriptローダーは、hxxps[:]//toxicsnake-wifes[.]com/promise/script.jsから展開されていました。このtoxicsnake-wifes[.]comドメインはTDSノードとして機能し、セッショントークンとともにdb.phpを注入し、被害者を有害なペイロードへと誘導します。
攻撃の技術的詳細とインフラ
この攻撃インフラは、以下のような特徴を持っています。
- TDSノードとペイロード配信: メインとなる
toxicsnake-wifes[.]comドメインはTDSとして機能し、ユーザーエージェント、リファラー、地理情報に基づいて被害者をフィッシングやマルウェアにリダイレクトします。 - 防弾ホスティング: 攻撃は、既知の防弾プロバイダーであるHZ Hosting LtdのAS202015ブロック(185.33.84.0/23)上に構築されており、テイクダウンが困難です。
- ドメインの悪用:
pasangiklan[.]top,asangiklan[.]top,ourasolid[.]com,refanprediction[.]shop,xelesex.topなど、他にも多数の教育機関を想起させるドメインが使用されています。 - 難読化されたJavaScript: 最初のJavaScriptローダーはXORによる難読化が施されており、ランダムなトークンを生成し、ローカルストレージフラグを使用して一度だけ実行されるように設計されています。
- 証明書の使用: 2025年12月23日から2026年3月23日まで有効なLet’s Encrypt証明書が使用されており、これは「使い捨て」の運用モデルを示唆しています。
IoC (Indicators of Compromise)
この脅威に関連する主な侵害指標は以下の通りです。
- ドメイン:
toxicsnake-wifes[.]com,pasangiklan[.]top,asangiklan[.]top,ourasolid[.]com,refanprediction[.]shop,xelesex[.]top - URL:
hxxps[:]//toxicsnake-wifes[.]com/promise/script.js,/promise/db.php? - IPアドレス:
185.33.84.152,185.33.84.189(185.33.84.0/23) - ASN: AS202015 (HZ Hosting Ltd)
- ネームサーバー:
dns1-4.regway[.]com - メールアドレス:
oreshnik @mailum[.]com
推奨される対策とリスク
攻撃者は、難読化、動的な注入、トークン化といった戦術を駆使し、被害者のプロファイルに基づいて詐欺、資格情報の窃取、またはマルウェアのドロッパーを配信します。特に教育テーマの悪用は、安全なサイトだと信じ込ませることで、ユーザーを騙してクリックさせる危険な手口です。
サイト管理者向け
- 影響を受けたドメインをオフラインにし、バックアップを復元し、資格情報をローテーションしてください。
script.jsのような注入されたファイルがないかスキャンしてください。
一般ユーザー向け
- 記載されたような疑わしいドメインへのアクセスを避けてください。
- 不審なリンクやメールには注意し、クリックする前に正規のサイトか確認する習慣をつけてください。
- セキュリティチームや関連機関(AS202015、Regway、Let’s Encrypt)に不審な活動を報告してください。
- VirusTotalやHybrid Analysisなどのサンドボックスツールを活用し、不審なファイルを提出してください。
SOCチーム向け
/db.phpへのトークン化されたGETリクエストや、185.33.84.0/23のIPアドレスに対するトラフィックを監視してください。
このTDSネットワークは、脅威アクターが使い捨てのインフラをどのように進化させているかを示しています。テーマ化されたルアーに対する警戒が、今後ますます重要になるでしょう。
元記事: https://gbhackers.com/school-domains-fuel-bulletproof-threats/