見積りや発注書のメールに注意

2021年の開始とともに、各企業が事業を本格的に開始した中で、事業に関連する内容に偽装した不正な電子メールが相次いで発見されており、注意を求めている。発見された攻撃は「見積依頼」、「発注書」などの業務に関する内容に偽装したメールに不正なファイルを添付する方式であり、添付ファイルを開くとアカウント情報を要求するフィッシングサイトへ接続、または情報を奪取するマルウェアに感染する。

https://image.ahnlab.com/img_upload/editor/2102164574604031.png

AhnLab ASEC は、今年1~2月の間に「見積依頼」、「発注書」などに偽装した電子メールで、ユーザーの情報奪取を試みる事例を多数発見した。電子メールの本文には比較的に自然な韓国語で「添付ファイルを確認してください。」という内容が記載され、ユーザーの添付ファイル実行を誘導していた。また、攻撃者は疑いを避けるため本文に特定の職員を詐称し、メールの署名を作成することもあった。以下は、発見された攻撃事例2件の内容をまとめたものである。

1.見積依頼に偽装した不正なメール

まず、今年の1月には「견적의뢰 건(翻訳:見積依頼の件)」という件名の不正な電子メールが発見された。本文には「発注書を送付いたしますので、ご参考の上製品の納期をお願いします。」という内容が書かれていた。攻撃者は、このメールに「Purchase order.html」および「Request for PO.html」という2つの不正な HTML ファイルを添付した。

https://image.ahnlab.com/img_upload/editor/2102164575666311.jpg
[図1] 「見積依頼」に偽装した不正なメール

ユーザーが HTML の添付ファイルを開くと、Excel ファイル画面と類似して制作されたフィッシングサイトに接続される。ユーザーが Excel ファイルのように見える画面に騙されて自分の電子メールアドレスおよびパスワードを入力すると、該当情報が攻撃者に直ちに送信される。

https://image.ahnlab.com/img_upload/editor/2102164575442505.jpg
[図2] Excelファイルに偽装したフィッシングサイト

2.発注書/見積書に偽装した不正なメール

今年の2月には「설계서 및 견적서 요청에 관한 건(翻訳:設計書および見積書の要請に関する件)」、「중국 수출용 발주서 첨부 건(翻訳:中国輸出用発注書添付の件)」などの件名にした不正な電子メールが相次いで発見された。該当メールは非常に自然な韓国語や詳細なメール署名を通して、ユーザーによる疑いを回避している。

https://image.ahnlab.com/img_upload/editor/2102164575282881.jpg
[図3] 「設計書および見積書」と「輸出用発注書」の内容に偽装した不正な電子メール

ユーザーが添付ファイルをダウンロードして解凍してから実行ファイル(.exe)を開くと、マルウェアに感染する。感染後はユーザーのキーロガー情報、Web ブラウザ内に保存されたユーザーアカウント情報などが奪取される場合がある。

現在 AhnLab V3は、このマルウェアおよびフィッシングサイトをすべて遮断している。

このようなマルウェアによる被害を減らすためには、▲出所が不明なメールは送信者を確認する。また、添付ファイル/URL 実行に注意する▲OS、インターネットブラウザ(IE、Chrome、Firefoxなど)、Office ソフトウェアのようなプログラムに最新のセキュリティパッチを適用する▲アンチウイルスソフトを常に最新バージョンにする。また、リアルタイム監視機能を有効にするなど、セキュリティに対する守則を遵守しなければならない。

AhnLab ASEC 分析チームのヤン・ハヨンチーム長は「関連業務を担当する職員は似たような内容のメールをよく受け取るため、ほんのわずかな不注意でマルウェアに感染することがある」とし、「このように奪取されたアカウントなどのユーザー情報は、ターゲット型攻撃等の2次攻撃に利用される場合もあるため、メールの送信者と添付ファイルを細かく確認し、出所が不明な電子メールの添付ファイルや URL は実行してはならない」と述べた。

現在、V3 Lite は該当マルウェアを以下のように診断している。

[ファイルの診断]

Malware/Win32.RL_Generic.C4310220

[メモリ診断]

Trojan/Win.Formbook.XM52

[行為の診断]

Malware/MDP.Injection.M3509

[IOC情報]

• MD5 : 85f52fdf0f7ef9b3deb19fa2daef41df

• hxxp://www.searko.com/gtl/ (Real C2)

• hxxp://www.9dgevjb.net/gtl/ (Fake C2)

• hxxp://www.ndjamua.com/gtl/ (Fake C2)

• hxxp://www.rnshaircare.com/gtl/ (Fake C2)• hxxp://melhoresradios.com/gtl/ (Fake C2)

Categories:未分類

0 0 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments