ADP Notification SPAM - BHEK2利用
Published: 2012/09/30
観測日: 2012/9/14〜9/30
通数: 300通/day
手法: 誘導URL型
目的: マルウェア感染
9月中旬からBHEK2に関連したスパムが大量にとどいていますが、その中でも9月末に向けて量が増えたものの一つです。
文面
文中の誘導URLはこのような感じ。
http://calzadorilo.com/ACz3QK/index.html http://hdsistem.com/972QnMkT/index.html http://holzkunstsaile.de/KKLSoA/index.html http://holzkunstsaile.de/WNoJow/index.html http://jdassociates.in/SbjDHZj/index.html http://paschallfordistrictattorney.com/YvvSX3/index.html http://russianconnectionunlimited.com/nSsbHJT/index.html XXXX.XXX/6文字のランダム文字列/index.html
index.htmlの中身は、「js.js」ファイルへのリンク。このリストもだいたい1日に一回変わって古いものはアクセス不能になります。攻撃手法というよりは対策されている場合が多いです。
「js.js」ファイルの中身は単純。このジャンプ先も賞味期限は1日程度。バリエーションは多数あります。
また、先週あたりまでは、このジャンプ先のURLそのものが、別のスパムによる誘導でも利用されていましたが、スパム文面にさらされると収集され対策される確率が高まるので失敗でしょう。
その中身。
これ以降はいつもどおりpdf,flash等の脆弱性狙いの攻撃です。
利用されているドメインは二週間で2000件程度あります。国別に分類するとこうなります。
US、ドイツのサイトが多く利用されているのはあいかわらず。
AS別にするとこうなります。
このなかから日本のサイトのみ抽出するとこうなります。
domain | IP | 件数 | 逆引き | AS | AS Name | Country |
---|---|---|---|---|---|---|
5274ce745f3c7e77.lolipop.jp | 210.172.144.77 | 1 | lb08.virt.lolipop.jp. | 7506 | INTERQ_GMO_InternetInc | Japan |
dp38318372.lolipop.jp | 210.172.144.27 | 6 | lb06.virt.lolipop.jp. | 7506 | INTERQ_GMO_InternetInc | Japan |
ngneko.chu.jp | 210.172.144.156 | 4 | lb09.virt.lolipop.jp. | 7506 | INTERQ_GMO_InternetInc | Japan |
ftp.rakuraku-soft.com | 112.78.119.203 | 1 | NONE | 9371 | SAKURA-C_SAKURA_Internet_Inc. | Japan |
partners.dhw.co.jp | 113.33.102.91 | 4 | 113x33x102x91.ap113.ftth.ucom.ne.jp. | 17506 | UCOM_UCOM_Corp. | Japan |
dfs.selfip.com | 121.82.134.118 | 2 | 121-82-134-118f1.osk2.eonet.ne.jp. | 17511 | K-OPTICOM_K-Opticom_Corporation | Japan |
www.qi-inc.com | 157.205.141.15 | 3 | webuxw35-15.aics.ne.jp. | 17514 | AICS_Otsuka_Corp. | Japan |
firstringabell.tyanoyu.net | 112.140.42.29 | 2 | homepage.shinobi.jp. | 23637 | BI-CDN-IX_Bit-isle_Co.Ltd. | Japan |
oneonlyjunk.suichu-ka.com | 112.140.42.29 | 6 | homepage.shinobi.jp. | 23637 | BI-CDN-IX_Bit-isle_Co.Ltd. | Japan |
by jyake