昨年5月、ASEC 分析チームでは TI 分析レポートと ASEC ブログを通じて「韓国国内のメールサービスのユーザーをターゲットにしたフィッシングサイト」について紹介した。当時は、NAVER ワークス(NAVER WORKS)/メールプラグ(MAILPLUG)/ハイワークス(hiworks)/千里眼/Daum のユーザーを対象に、ユーザー情報を流出させた内容について紹介した。
企業用グループウェアのログインページを装ってユーザーのアカウント情報を流出させるためのファイルは、かなり頻繁に拡散してきたフィッシングタイプのうちの一つであり、メールタイトル、内容/添付ファイル名/スクリプトコード等において微小な変形を使用している。
韓国国内のユーザーが多く利用するこれらのグループウェアを詐称している点は同じだが、今回は攻撃者がより簡単な方式を利用して、同じスクリプトファイルを受信者に合わせて様々なファイル名に変えて配布している状況が確認された。また、類似したスクリプトコードのフォーマットを使用し、NAVER ワークス(NAVER WORKS)/ハイワークス(hiworks)/Microsoft Outlook/Microsoft SharePoint グループウェアを詐称したファイルが多数確認された。
以下の表は現在までに確認されたファイル名と、ファイルが確認された直近の日付を示している。ほとんどのファイル名には企業の名前が含まれており、見積要請/注文書/受注/注文用紙等の範囲において様々な分布を見せている。特に、特定の2つのファイルは企業の名前をそれぞれ5箇所以上に別々にして配布しており、一部のファイルは VirusTotal Result にも存在するが、他社製品では検知がまったく行われないことが確認され、ユーザーが正常なファイルと認知してしまう可能性も高い。
例えば、ハッシュが同じファイルだが、「○○科学_譲受要請書様式.htm」、「○○エコテック.htm」、「○○工場(株)見積要請.htm」)のように、異なるファイル名で配布されるような形式である。これとは反対に、ハッシュが同一ではないが類似のフォーマットのスクリプトファイルが同じファイル名で配布される状況も確認されている。スクリプトの不正な箇所については、本記事の下部でより詳細に紹介する。
| File Name | Date | File Name | Date |
| PO2648357.htm (Purchase Order の略称 P.O を使用) | 2021-12-20 2021-12-22 | ○○エコテック.htm | 2022-01-26 |
| ○○工場㈱見積要請.htm | 2021-12-24 | authenticationsharepointazon.htm | 2022-01-11 |
| ○○テクノロジー㈱ (注文リスト.htm | 2021-12-28 | ㈱○○テック(見積問合せ).htm | 2021-12-20 2021-12-27 2022-01-19 2022-01-20 |
| ○○産業㈱受注.htm | 2022-01-04 | ○○科学_譲受要請書様式.htm | 2021-12-17 2022-01-23 |
| ○○産業.(注文用紙).htm | 2022-01-19 | ㈱ ○○ 見積要請 (20210608).htm | 2022-01-14 2022-01-25 2022-01-26 |
| DOC Q0017 3509.html | 2022-01-24 | ○○○○テクノロジー㈱(注文書).htm | 2021-12-29 2022-01-04 2022-01-06 |
フィッシングメールによって流入するこの HTML ファイルを開くと、以下のように様々なグループウェアを詐称したログインページが確認できる。実際の正常なページと比較しても異なる点を簡単に見つけることができないため、ユーザーの格別な注意が要求される。
テキストエディタで NAVER ワークス(NAVER WORKS)の正常なログインページのスクリプトコードと比較すると、上記のようなスクリプトコードが最下段に追加されていることがわかる。
JavaScript atob メソッドを利用する部分には、変数 d を宣言した後にアカウント情報を流出させるアドレスを Base64 エンコードしておき、ユーザーが ID とパスワードを入力したときに HTTP POST メソッドによってそのデータをアカウント情報流出アドレスに伝達する内容を示している。また、windows.location.replace を使用した部分では、ユーザーがフィッシングサイトへのアクセスに気づかないように、以下のようなグループウェアの正常なページにリダイレクトさせることがわかる。
- https://worksmobile.com
- https://outlook.live.com/owa/
- https://mail.naver.com
- https://mail.office.hiworks.com/
攻撃者はアカウント情報流出アドレスを以下のように区分しているが、これは取得したアカウント情報がどのページで入力されたものかを知るためであると推定される。実際に昨年から ngrok.io プラットフォームのドメインがフィッシングに使用されたケースが複数、韓国国外でも報告されている。
- hxxps://3a35-69-61-79-165.ngrok[.]io/gondor/jameshector0705_naver.php
- hxxps://3a35-69-61-79-165.ngrok[.]io/gondor/jameshector0705_hiworks.php
- hxxps://3a35-69-61-79-165.ngrok[.]io/gondor/wendiflaisher_worksmobile.php
正常なグループウェアイメージを使用しているために混乱の余地はあるが、電子メールの添付ファイルから Web ページに入り、アカウント情報を入力しないようにしなければならない。もしフィッシングと疑われるメールを受信したが、実際にこれらのグループウェアを利用する必要がある場合は、Web ブラウザを通じてグループウェアの公式サイトからログインして確認する方向を推奨する。
また、常時使用しているアンチウイルスソフトを最新バージョンにアップデートして運用するといった努力が必要である。
AhnLab V3 プロダクトラインでは、本文で紹介したタイプの不正なスクリプトに対して以下のように検知している。
[ファイル検知]
Phishing/HTML.Generic.S1713
[IOC]
0ac973a960c95ac3e5bd1f474098f635
hxxps://no1webmaster.com/alvin.php
hxxps://supraenagy.ml/wan.php
hxxps://simcaadvertising.com/most.php
hxxps://3a35-69-61-79-165.ngrok[.]io/gondor/jameshector0705_naver.php
hxxps://3a35-69-61-79-165.ngrok[.]io/gondor/jameshector0705_hiworks.php
hxxps://3a35-69-61-79-165.ngrok[.]io/gondor/wendiflaisher_worksmobile.php
hxxps://1749-185-38-142-187.ngrok.io/narnia/mekus_worksmobile.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報