ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2022/11/27から12月03日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。ログインアカウント情報流出タイプは、偽のログインページで用語を定義している。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは脆弱性(Exploit、38%)であった。脆弱性タイプは大きく数式エディタ(EQNEDT32.EXE)脆弱性が含まれたドキュメントファイルが確認された。
その次に多かったタイプは偽のログインページ(FakePage、27%)であった。偽のログインページは攻撃者が正常なログインページの画面構成、ロゴ、フォントをそのまま模倣した Web ページで、ユーザーに自分のアカウントとパスワードを入力するように誘導させる。入力された情報は攻撃者の C2 サーバーに転送される。以下の<偽のログインページ C2>を参照
3番目に多かったタイプは情報窃取型マルウェア(Infostealer、26%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。
その他にもダウンローダー(Downloader、7%)、ワーム(Worm、2%)タイプが確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のログインページは Web ブラウザで実行されなければならない Web ページスクリプトであるため HTML、HTM ファイル拡張子で配布される。情報流出型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは ZIP、R00、RAR、LZH などの圧縮ファイル、IMG ディスクイメージファイル、XLS ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されている。Web ページのスクリプトファイルでなければならない偽のログインページを除いたマルウェアは、脅威タイプに関係なく様々なファイル拡張子で配布されている。
配布事例
2022/11/27から12月03日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| [FedEx] 輸入税納付期限案内 – 002648974380 | showimage.php |
| 航空券の決済が完了しました _ Confirmation | Air-Ticket 確認書.html |
| Jimmy’s on the Mall Pty Ltd – Remittance advice | Remittance BFER.html |
| RATE OFFER : SHANGHAI TO MULTIPLE PORTS IN INDIA / PAPER ROLLS / 40HC | ShippingOrderDocs38827101HBL982022.html |
| Re: PAYMENT OF OUTSTANDING INVOICES/ DRAFT BL CHECKING | paid invoice.htm |
| RE: [External] Wire Confirmation | wire swift copy.htm |
| Re:Invoice balance payment of PO#CMS2018PO#6143171 | balance payment of pending invoice pdf.htm |
| Sales contract 388 and PI 388 | Proformer Inv 388.html |
| Wire & Bank Confirmation | Wire Transfer.htm |
| Your parcel has arrived urgent pick up needed today.? | DHL Air Waybill ____0392.PDF.htm |
| Remittance USD | Remittanc Advice USD.html |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| Buenas noticias | Buenas noticias 1.doc |
| Kopija SWIFT-a SVRLJIG EUR 35,752.73 952PSA3223330506 | dvswiftsend_3011202234513_931079122.pdf.img |
| NEW DECEMBER ORDER PO#137810205 | NEW ORDER PO137810205.xls |
| NEW ORDER #306078910 | P.O #306078910.xls |
| NEW PRODUCT INQUIRY (Europe & Asia) | Product Inquiry.xls |
| Payments Adjustment. | payments .xls |
| Product Inquiry for New Orders | New product inquiry.xls |
| Re: Re: Aw: Aw: Draft Shipping Docs, BL, Packing List & Commercial Invoice | Draft Of Shipping documents.xls |
| Re: Balanced payment for invoice 058418 | Bank Slip.img |
| Request for Quotation – RFQ | RFQ.xls |
| URGENT FIFA WORLD CUP QATAR 2022 PURCHASE ORDER | QATAR 2022 PURCHASE ORDER.img |
| VSL: M/V COMMON CALYPSO, ORDER: NOV-A1129B | MV COMMON CALYPSO.xls |
| Re[2]: super cool pics | prv_phot.jpg.pif |
| Re: DHL Shipment Notification : 215158737492 | Awb_invoice_0000372998.lzh |
| Re: Draft Shipping Docs, BL, PL & Update ETA | SHIPMENT BL CI PL DOCUMENTS.xls |
| NEW DECEMBER ORDER PO#137810205 | NEW ORDER PO137810205.xls |
| DHL AWB #5401214457 | AWB#5401214457_Nov. 2022.zip |
| Re: Draft Shipping Docs, BL, PL & Update ETA | SHIPMENT BL CI PL DOCUMENTS.xls |
| RFQ_$CIF& Ex /RCI Spain | RFQ_$CIF& Ex RCI Spain pdf.r00 |
| #ERROR! | Swift MT03pdf.r01 |
| Inquiry | Quotation_2200001635.img |
| Swift Payment Copy | SWIFT copy.29112022.Pdf.zip |
| Re: Inquiry | 33690120220531MES_S Quote.img |
| Re[2]: super cool pics | prv_phot.jpg.pif |
| Re: DHL Shipment Notification : 215158737492 | Awb_invoice_0000372998.lzh |
| Re: Draft Shipping Docs, BL, PL & Update ETA | SHIPMENT BL CI PL DOCUMENTS.xls |
| NEW DECEMBER ORDER PO#137810205 | NEW ORDER PO137810205.xls |
| DHL AWB #5401214457 | AWB#5401214457_Nov. 2022.zip |
| Re: Draft Shipping Docs, BL, PL & Update ETA | SHIPMENT BL CI PL DOCUMENTS.xls |
| RFQ_$CIF& Ex /RCI Spain | RFQ_$CIF& Ex RCI Spain pdf.r00 |
| Re: follow up: payment: November 11-28-2022 | Swift MT03pdf.r01 |
| Inquiry | Quotation_2200001635.img |
| Re: Inquiry | 33690120220531MES_S Quote.img |
| RE: TT Balance For USD 28,770 | BNK0002334789532_USD28,770.00.lzh |
| Buyer-Splash; PI: O11-221101427 | PI O11-221101427.PDF.GZ |
| Re: Balanced payment for invoice 058418 | Bank Slip.img |
| DHL On Demand Delivery | Documentos DHL-022743.xlsx |
| AW: Re: REMITTANCES | transaction_history_2022121-15712.gz |
| Payment List – 2022.12.1 | RefA0BL75464.xlsx |
| Shipping Docs B/L A01-2201139L | DOCUMENTOSNOG18697208.img |
| Quote Request | RefTT011222.img |
ASEC 分析チームは上記の配布事例をもとに、ユーザーが注意しなければならないキーワードを選定した。キーワードがメールの件名に含まれていたり、同じような特徴がある場合、攻撃者が送信したフィッシングメールである可能性があるため、特に注意する必要がある。
注意するキーワード: 「決済」「税金」
多くのメールが「決済」と「税金」などの取引キーワードに関連して、特定の業者に偽装してマルウェアを配布していた。以下の事例は HTML、PHP 形式のファイルをメールに添付していた。2つのファイルのどちらもログインページに偽装したフィッシングファイル(FakePage)である。
偽のログインページ(FakePage) C2 アドレス
攻撃者が作った偽のログインページにユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者 C2 アドレスである。
- hxxps://www.elit.com.mx/login.php
- hxxps://carlasbastiux.cc/YqTR09/feedback.php
- hxxps://erfvh.gq/o/PDF-NEW.php
- hxxps://www.agroallied.cf/upload/zender.php
- hxxps://ralonso.com//wp-admin/cs/NEW-PDF.php
- hxxps://submit-form.com/JeRl7xMP
- hxxps://leptodactylous-tubs.000webhostapp.com/feed.php
フィッシングメールの攻撃予防
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計