ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2022年11月13日から11月19日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。また、今までに発見されていない新たなタイプや、注意しなければならないメールのキーワードも紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは情報窃取マルウェア(Infostealer, 29%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。
その次に多いタイプは SmokeLoader、GuLoader のような loader が含まれたダウンローダー(Downloader, 28%)マルウェアと、偽のログインページ(FakePage, 26%)であった。偽のログインページは攻撃者が正常なログインページの画面構成、ロゴ、フォントをそのまま模倣した Web ページで、ユーザーに自分のアカウントとパスワードを入力させるように誘導させる。入力された情報は攻撃者の C2 サーバーに転送される。以下の<偽のログインページ C2>を参照
それ以外にもトロイの木馬(Trojan, 8%)、バックドア(Backdoor, 5%)、ワーム(Worm, 2%)、脆弱性(Exploit, 2%)タイプが確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。これらを通してフィッシングメール(ID: T1566[1])を利用した攻撃の初期アクセス(Initial Access, ID: TA0001[2])が全体のマルウェア配布に影響を与える可能性があると考えられる。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のログインページは Web ブラウザで実行されなければならない Web ページスクリプトであるため、HTML、SHTML、HTM ファイル拡張子で配布される。情報流出型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは ZIP、R00、GZ、RAR、XZ などの圧縮ファイル、IMG ディスクイメージファイル、XLS ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されている。Web ページのスクリプトファイルでなければならない偽のログインページを除いたマルウェアは、脅威タイプに関係なく様々なファイル拡張子で配布されている。
配布事例
2022年11月13日から11月19日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| 4_支払いコピー | Payment Copy.html |
| DHL COPY_20221117_0713.eml | SHIPMENT.html |
| FW NEW ORDER AND VENDOR FORM WITH CONTRACT | VENDOR FORM-INVOICE.shtml |
| FW overdue payments. | overdue payments.html |
| Fw SWIFT TELEX TRANSFER NOTIFICATION for jennifer.villanueva | SWIFT TELEX TRANSFER FX FOR -jennifer.villanueva.html |
| INVOICE_20221115_2354.eml | INVOICE.html |
| Order for Mesh trays | ORDER.html |
| PO PT. KTI (RFQ) 13.11.2022 | PO_List(18)_pdf.htm |
| RE TW -WIRE TRANFER-088408 | Balance payment for invoice.shtml |
| Re Wire Confirmation | Wire transfer.htm |
| RE [External] Wire Confirmation | wire swift copy.htm |
| TR DEVIS + FACTURE 14 Nov 2022 | DEVIS+FACTURE.shtml |
| You have received Business 3 documents in folder shared with you!! | Dropbox.Html |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| nquiry bill and purchase order number. #1ZBL2D | Inquiry #140220.pdf.UUE |
| DHL CARGO ARRIVAL NOTICE | SHIPPING DOC.zip |
| Dhl Express Shipping_Original_Document | CH_O_120795439441.PDF.BZ2 |
| Due Reminder_ OCC_DUNNING_ID00534996 MAERSK | DUNNING OCC_10465702945_3761230191.Gz |
| Entrega a pedido de DHL | documentos DHL.img |
| Fw URGENT Invoice_72_142 | DOC Reference invoice_72_1421.rar |
| Fwd Invoice | Invoice_0014112022.jpeg.img |
| Fwd: Re: REMITTANCE | REMITTANCE SLIP 042xxxTRF.gz |
| INVOICE 221009 DOCUMENT REVISED SHCIPS | INVOICE 221009.zip |
| invoice 80022# – international offshore services jsc | INV-80022.xls |
| NEW INQUIRY FOR YOUR AVAILABLE PRODUCTS | new inquiry.img |
| Payment Advice – Ref: [HSBC1057029141] /RFQ Priority Payment / Customer Ref: [PI10771QT90] | HSBC Payment Advice_pdf.xz |
| Pepsico LLC RFQ P1002518 | Pepsico LLC RFQ Information.IMG |
| PO759033 | PO759033.zip |
| Re Order | Sales Order Quotation_20221115_145947.img |
| RE pedido de muestras de productos | pedido de muestras de productos pdf.exe.xz |
| Re Quotation | Quotation UBG361Q.img |
| Re: Inquiry | 1069820220531MES_S Quote.img |
| Re: Wire Confirmation and Invoice questions | Wire Confirmation New Order and Invoice.PDF.GZ |
| RE:RFQ_Lenz Global Imports Inc | RERFQ_Lenz Global Imports InR-000c PDF.r00 |
| Re[4]: smart photo | wildphot.pif |
| RFQ | rfqtxls.rar |
| RFQ_Lenz Global Imports Inc | RFQ+Lenz Global Imports IncPDF.r00 |
| RFQ1000AQMM General Trading LLC.pdf | (RFQ1000AQMM General Trading LLC.pdf.r01 |
| TT/COPY_18112022 | 18112022TTcopy.rar |
ASEC 分析チームは上記の配布事例をもとに、ユーザーが注意しなければならないキーワードを選定した。キーワードがメールの件名に含まれていたり、同じような特徴がある場合、攻撃者が送信したフィッシングメールである可能性があるため、特に注意する必要がある。
注意するキーワード: 「支払いコピー」
業者を偽装してハングルのメールの件名で配布された。「支払いコピー」の内容でユーザーをだまそうとし、偽のログインページである Payment Copy.html ファイルを添付した。添付ファイルを実行すると、Excel ドキュメントをオンラインで見るためにメールアカウントにログインするようにといったページが実行される。
注意するキーワード: 一般的ではない添付ファイルの拡張子、「UUE」、「R00」、「XZ」、「BZ2」
「UUE」、「R00」、「XZ」、「BZ2」のように一般的ではない拡張子形態の圧縮ファイルで配布された。以下の事例は Inquiry #140220.pdf.UUE ファイル名で UUE 拡張子ファイルを添付していたが、UUE ファイルは実際には RAR 圧縮形態のファイルであり、不正な EXE 実行ファイルが含まれている。内部の実行ファイルは情報窃取タイプの AgentTesla マルウェアである。
偽のログインページ(FakePage) C2 アドレス
攻撃者が作った偽のログインページにユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者 C2 アドレスである。
- hxxps://formspree.io/f/xwkzwzdj
- hxxps://submit-form.com/7Qhdye4M
- hxxps://vladiolitrade.ru/coc/zender.php
- hxxp://hybridpro.com/mailb_fix.php
- hxxps://multiservicon.com/wp-ra/adbn.php
- hxxps://strofima.com/pdf.php
- hxxps://hoellooooo.ga/Esp/sharepoint.php
- hxxps://tech4herafrica.com/wp-includes/dri/Drbox001.php
フィッシングメールの攻撃予防
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計