2022/01/11

サイバー攻撃者に防弾サービスを提供するプロバイダ "Shinjiru” / “Offshore” Shinjiru Provides Bulletproof Services to Cyberattackers(転載)~「Shinjiru」を「信じる」!?~


“Offshore” Shinjiru Provides Bulletproof Services to Cyberattackers:

防弾ホスティング(BPH)は、インターネットを利用した犯罪行為に対応するためのサービス提供の集合体である。脅威のインフラに頻繁に登場する「Shinjiru」もその一例です。このマレーシアのホスティング会社は、顧客とそのウェブコンテンツおよびサーバーをテイクダウン要求から保護し、疑わしい活動や不正な活動のためのセーフハーバーとして機能しています。

シンジルのIPスペースは、マルウェアの配布、詐欺、フィッシング、ビジネスメールの漏洩など、様々な悪質行為に利用されてきた経緯があります。このICANN公認レジストラは、APNICから2万を超えるIPアドレスを割り当てられ、マレーシアに自社のデータセンターを保持しています。

私たちは、Shinjiruによって促進された悪意のある活動のいくつかの例を調査し、ホスティング会社が所有するインフラストラクチャを強調しました。また、Shinjiruと他の防弾ホスターとのつながりも検証しています。

Shinjiru:「オフショア」ホスティングプロバイダー

Shinjiru Technology Sdn Bhdはマレーシアのホスティング会社で、自治体番号AS45839で運用される21504のIPアドレスと、他のホスティングプロバイダーから借りている追加のIPレンジを割り当てられています。防弾プロバイダは、しばしばグレーゾーンで活動し、不正利用の苦情やテイクダウン要求がある中で、ホストしている違法な活動を妨害されないようにしながら、合法的に見せかけようとするものです。

Shinjiruは、顧客の匿名性を維持し、顧客とそのウェブコンテンツおよびサーバーをオフラインから保護することに焦点を当てた「オフショア」ホスティングプロバイダーであると自称しています。同社のウェブサイトには、「DMCAやテイクダウン要求を無視する...オフショア管轄として、Shinjiruは世界中のあらゆるタイプの匿名ホスティングを提供することができる」と書かれています。


Shinjiruの場合、"オフショア "とは "防弾 "を意味します。このウェブサイトは、潜在的な顧客に対して、彼らが効果的な法執行や規制措置の手の届かないところにいるというシグナルとして、この言葉を強調している。ビットコインホスティングのページだけでも14回も登場している。

Shinjiruのドメイン登録ページでは、どのトップレベルドメイン(TLD)がICANNの下になく、米国の法律の適用を受けないかを紹介しています。.comを除くすべてのTLDが、"DMCAシャットダウンなし "と "検閲なし "を約束しています。


また、マレーシア、ブルガリア、オランダ、香港、リトアニア、ルクセンブルグ、ロシア、シンガポールの8つの「オフショア」でもホスティングサービスを提供することが可能です。


この防弾プロバイダーのサポートポータルは、もしそうせざるを得なくなった場合、顧客の活動を中断させる前に警告するようあらゆる努力をすることを再確認し、SpamHausのリスト回避に関するガイダンスさえ提供しています。

Shinjiruは、悪意のある活動のためにホスティングサービスを提供した過去があります。例えば、OceanLotus(APT32)は、Shinjiruのウェブサイトを利用して悪意のあるドメインを登録しました。2018年、CiscoのAndrea Kaiserは、マルウェアのコマンド&コントロール(C2)ドメインをサービスするネームサーバーを特定し、悪意のあるボットネットにFast Flux DNSを提供するブログを公開しました。

2020年、アラバマ大学バーミンガム校のコンピュータ・フォレンジック研究部長であるゲイリー・ワーナーは、自身のブログで、違法なオピオイドやフェンタニルを販売するウェブサイトの調査について記事を書きました。彼とUABの法医学プログラムの責任者であるElizabeth Gardner博士は、Verdina Ltd.という会社に所属するShinjiruを通じて登録され、ホストされている薬物販売サイトの一群を発見したのです。

Verdina Ltd.はベリーズで登記されているが、ブルガリアにもあるようだ。VerdinaはそのIPブロックのいくつかをShinjiruにレンタルしている。Verdinaの他のブロックのほとんどは、theOnionHostやRackSrvr LTDのような他の疑わしいホスティング事業体にレンタルされています。

Warner氏は、同ネットブロックにおける追加の悪質な活動として、Shinjiru IPアドレスでホストされる複数のサブドメインとネームサーバーのクラスターを指すフィッシングや税金の還付詐欺などを取り上げました。また、Warner博士は、これらのネームサーバーは、ビジネスメール詐欺(BEC)を行う詐欺師グループによって使用されているとしています。

Shinjiruのライブサポートサイト「247livesupport.biz」での最近の投稿から、Shinjiruがこれらのドメインと関連するネームサーバーに加え、他のいくつかのドメインとネームサーバーを直接運営していることが確認されており、RiskIQ TIPで確認することができます。これらのネームサーバーは、何千ものドメインに接続しており、その多くが明らかに悪意のある目的であることがわかります。

今回の調査で判明した「Shinjiru」に関連する脅威のインフラは、RiskIQのThreat Intelligence Portalのこちらでご覧いただけます。