MuramatsuGroupKiller spam Library

迷惑メールを色々調べます

偽告訴詐欺:JA・CKS信用情報管理通知センター  その2

Live HTTP headersマルウェア化したのに今更気づいて、調査環境の再構築をしています。
おかげであまり調査できてないんですが、とりあえず「JA・CKS信用情報管理通知センター」の2回目です。

JA・CKS信用情報管理通知センターの前回記事のアクセスが予想以上に多いです。
で、改めて過去に来た迷惑メールを調べてみました。

「JA・CKS信用情報管理通知センター」の名前で去年の年末から送信されていました。
それよりも前に、出来損ないの出会い系システムを流用した偽告訴詐欺を追跡していましたが、同じ連中だと考えています。

前回晒した、メールヘッダからの送信サーバー情報です。


Received-SPF: pass (re27.leadw.link: domain of bounce-********@g0zs8omwfqere.link designates 114.113.195.101 as permitted sender) receiver=re27.leadw.link; client-ip=114.113.195.101; envelope-from=bounce-********@g0zs8omwfqere.link;
Authentication-Results: ********  from=kldoqzn6x62p3.top; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@kldoqzn6x62p3.top
Received: from 114.113.195.101  (EHLO re27.leadw.link) (114.113.195.101)
Received: from kldoqzn6x62p3.top (static-ip.137.54.244.103.rev.i4hk.com [103.244.54.137])




送信元のサーバーIPアドレスが、103.244.54.137になっています。
メールアドレスのドメイン部分(@から後ろ)で判明しているもので、現在も103.244.54.137に割り当てられているドメインは下記のとおりです。

jonjokojon789.shop
sunsonshu55.shop
20fv9uicbmcid.link
2bke8q4dybzuo.link
cph7l0pgxnv2s.link
dzea626y1whdr.link
g0zs8omwfqere.link
gplpdph2h6bv7.link
ocbotshemc8l6.link
q1g7w7qxuij86.link
wsxhwh559uwks.link
i7fkywkb1ton.link
788fckwv42kj.link
p963kr435uqq.link
1eyv7xaaktsre.club
rdnvgggd99ds.link
eopdkndujdfgs.link
kldoqzn6x62p3.top

最新のメールヘッダからの送信サーバー情報です。


Received-SPF: pass (re27.leadw.link: domain of bounce-********@authoranz.xyz designates 114.113.195.11 as permitted sender) receiver=re27.leadw.link; client-ip=114.113.195.11; envelope-from=bounce-********@authoranz.xyz;
Authentication-Results: ********  from=somach789.xyz; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@somach789.xyz
Received: from 114.113.195.11  (EHLO re27.leadw.link) (114.113.195.11)
Received: from somach789.xyz (static-ip.137.54.244.103.rev.i4hk.com [103.244.54.137])


 

新たに、somach789.xyz, authoranz.xyz が割り当てられたようです。

(IPアドレスに関して、アップしてすぐ記事修正しました。どうやら頭が混乱していたようです・・・。)

いずれも、転送が114.113.195.0/24のネットワーク上でかかっているようです。
なので、メールソフトで迷惑メールとしてフィルタをかけたいのであれば、メールヘッダ内の「114.113.195.」という文字で引っ掛ける必要があります。

この転送サーバーがいるネットワークを、もう少し調べてみます。
前回このネットワークはAS133027 ET355-AS Eric Tamのものだと書きました。
これをRobtexで見てみましょう。

あ、念の為書いておきます。Robtexはdoubleclick.netのトラッカーを仕掛けてたりします。
嫌な方はトラッカーをブロックしてください。

https://www.robtex.com/?as=as133027


ここを見ると、Eric Tamが持っているネットワークは

114.113.195.0/24
122.115.76.0/24
191.101.60.0/24
223.252.175.0/24

となっています。
「114.113.195.」以外に、「122.115.76.」「191.101.60.」「223.252.175.」もメールソフトでフィルタかけるといいでしょう。
いずれも香港のIPということになってます。

で、気になるのが"Proxy-registered route object"という箇所です。
はっきりと意味はわからないんですが、香港のIPを取得しルーティングをかけているのかもしれません。
ルーティング先が日本なら、転送サーバーの実体は日本にあるのかもしれません。
だとしたら色々辻褄が合います。