ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2022年11月20日から11月26日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。ログインアカウント情報流出タイプは、偽のログインページで用語を定義している。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは情報窃取マルウェア(Infostealer、34%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。
その次に多いタイプは偽のログインページ(FakePage、21%)であった。偽のログインページは攻撃者が正常なログインページの画面構成、ロゴ、フォントをそのまま模倣した Web ページで、ユーザーに自分のアカウントとパスワードを入力するように誘導させる。入力された情報は攻撃者の C2 サーバーに転送される。以下の<偽のログインページ C2>を参照
それ以外にもトロイの木馬(Trojan、15%)、バックドア(Backdoor、10%)、ワーム(Worm、8%)、ダウンローダー(Downloader、7%)、脆弱性(Exploit、5%)タイプが確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のログインページは Web ブラウザで実行されなければならない Web ページスクリプトであるため、HTML、SHTML、HTM ファイル拡張子で配布される。情報流出型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは ZIP、R07、RAR、XZ などの圧縮ファイル、IMG ディスクイメージファイル、XLS ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されている。Web ページのスクリプトファイルでなければならない偽のログインページを除いたマルウェアは、脅威タイプに関係なく様々なファイル拡張子で配布されている。
配布事例
2022年11月20日から11月26日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| A/R Invoice – 1058071 | AR Invoice – 1058071.htm |
| FW: Documents? INVOICE AND STATEMENT | Documents.htm |
| DHL COPY | SHIPMENT.html |
| FW: Purchase Order | Quote.html |
| Invoice Confirmation | Invoice (1).html |
| INVOICE | INVOICE.html |
| P.O9035 Payment for ***.com: Wednesday, November 23, 2022 | OptoSort_GmbH_P.O24365.html |
| Payment Advise – Thursday, November 24, 2022 | ian.tolfree_Payment Schedule-PL-PG-19703507.file.html |
| Re: Re: Request of Quotation. | new-order P.o.html |
| Your mailbox is 98% full. | Storage Settings.html |
| Fwd: attached invoice for balance payment | Invoice settlement.shtml |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| Balanced payment for invoice 058418 | image004.img |
| BL-CTLT02060001967 | EA808465.IMG |
| DHL Shipment Notification 4816 Custom Form E | CUSTOM CLEARNCE FORM E.xls |
| Inquiry HA-22-28199 22-077 for Mongolian Market | Inquiry HA-22-28199 22-077,pdf.img |
| Inquiry HA-22-28199 22-077 for Mongolian Market | Inquiry HA-22-28199 22-077.xls |
| New PO-SO210014-024 | New PO-SO210014-024.xls |
| order | Quote_2200001679.img |
| RE NYP6109212022 | NYP610921.ISO |
| Re GRAFINGER-ORDER | Grafinger-CVE2-530334.iso |
| Re New Order 87012 | NEW ORDER 87012_PDF.IMG |
| RE PO1232451 | PO1232451.xls |
| RE REVISED ORDER CONFIRMATION | PURCHASE.ORDER.IMG |
| Re Transferencia PAGO TT | Transferencia.pdf.img |
| REBBND List as on dt.18112022_20221118_2129.eml | BBND.IMG |
| REQUEST FOR QUOTATION Ref. # IRQ2107778 | RFQ Ref. # IRQ2107778.img |
| Send email Invoice_0479.18.11.2022 | Invoice_0479.18.11.2022.img |
| Re[2]: very sexy images only for you | wild__plp.exe |
| sexy pictures | superimg.jpg.exe |
| super wonderful picture don’t show | sex-act.exe |
| order | Quote_2200001679.img |
| RE: MW90_CRF Port Klang_HongKong Taisung Innovase Enterprise Co. Ltd | MW90 CRF Port Klang_HongKong Taisung Innovase Enterprise Co. Ltd.r07 |
| URGENT_RFQ | SPASHEET1.rar |
| URGENT RESPONSE | RFQEXCEL1.rar |
| RFQ23.11.2022 | 23112022Sheet01.rar |
| RE: NEW CONTRACT NO. 002/PPI/2/INV22100401 | PPI_002_TUMINH_SIGNED_pdf.rar |
| Payment | Payment Copy.rar |
| Kindly Quote items | RFQ002511.rar |
| Kindly Quote items | Sheet001ESMPC1125.rar |
| TNT Express Invoice: 09004105 – Account: 000011320 | TNT Invoice_pdf.xz |
| SAMPLE FOR REQUEST | TESN REQUEST SAMPLE.z |
| Fwd: REMITTANCES | REMITTANCE COPY – Nov 2022.zip |
| New Shipment notifice | SHIPPING DOC.zip |
| Arrange balance payment | Proof of payment.zip |
| DHL AWB – 4520065422 | DHL AWB – 4520065422_Nov.2022.zip |
| Fwd: AW: Re: REMITTANCES | REMITTANCE COPY#900024415xxxx2022.zip |
| NEW DECEMBER ORDER PO#137810205 | NEW_ORDER_PO137810205.pdf.zip |
| BANK DETAILS CONFIRMATION | swift(USD 17043.50).zip |
ASEC 分析チームは上記の配布事例をもとに、ユーザーが注意しなければならないキーワードを選定した。キーワードがメールの件名に含まれていたり、同じような特徴がある場合、攻撃者が送信したフィッシングメールである可能性があるため、特に注意する必要がある。
注意するキーワード: 「Payment」、「Invoice」
多くのメールが「送り状」と「支払金額」などの取引キーワードに関連して、特定の業者に偽装してマルウェアを配布していた。以下の事例は image004.img ファイル名で IMG 拡張子ファイルを添付していた。このディスク画像ファイル(IMG)は、現在最も多く配布されている形態で、内部には不正な EXE 実行ファイルが含まれている。内部の実行ファイルはダウンローダータイプの PureCrypter マルウェアである。
偽のログインページ(FakePage) C2 アドレス
攻撃者が作った偽のログインページにユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者 C2 アドレスである。
- hxxps://formspree.io/f/xwkzwzdj
- hxxps://exptools.com.sg/PDF-NEW.php
- hxxp://zena.med.br/wp-includes/assets/post.php
- hxxps://chrismassseasons.xyz/aaaloll/anydomain.php
- hxxps://pilasterlllc.com/neo/wp-confort.php
- hxxps://emsrvs-centers.tk/mrk309028oyustered/response/zender.php
- hxxps://submit-form.com/KezvKLLz
- hxxps://submit-form.com/CeQwEXsb
- hxxps://submit-form.com/GMp7u0F8
フィッシングメールの攻撃予防
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 総計