Posted By ATCP , 2022년 12월 22일

ASEC 週間フィッシングメールの脅威トレンド (20221204 ~ 20221210)

ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2022年12月04日から12月10日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。ログインアカウント情報流出タイプは、偽のログインページで用語を定義している。

フィッシングメールの脅威タイプ

一週間のフィッシングメールの添付ファイルのうち、最も多いタイプはの偽のログインページ(FakePage, 36%)であった。偽のログインページは攻撃者が正常なログインページの画面構成、ロゴ、フォントをそのまま模倣した Web ページで、ユーザーに自分のアカウントとパスワードを入力するように誘導させる。入力された情報は攻撃者の C2 サーバーに転送される。^{以下の<偽のログインページ C2>を参照}

その次に多かったタイプは情報窃取型マルウェア(Infostealer, 23%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。

3番目に多かったタイプは SmokeLoader、GuLoader のような loader が含まれたダウンローダー(Downloader, 16%)マルウェアであった。それ以外にもワーム(Worm, 13%)、バックドア(Backdoor, 7%)、トロイの木馬(Trojan, 3%)、脆弱性(Exploit, 2%)が確認された。

フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。

添付ファイルの拡張子

上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のログインページは Web ブラウザで実行されなければならない Web ページスクリプトであるため HTML、HTM ファイル拡張子で配布される。情報流出型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは ZIP、R00、RAR、7Z などの圧縮ファイル、IMG ディスクイメージファイル、XLS ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されている。Web ページのスクリプトファイルでなければならない偽のログインページを除いたマルウェアは、脅威タイプに関係なく様々なファイル拡張子で配布されている。一週間のフィッシングメールの添付ファイルのタイプでは、特に IMG ファイルが高い比率を示していた。

配布事例

2022年12月04日から12月10日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。

事例: 偽のログインページ(FakePage)

メールの件名	添付ファイル
4_DHL KOREA에서 [거래명세서]가 도착하였습니다.	AWB-87466784.html
FW: Quotation	Enquiry.html
Payment Advise	Payment Slip.html
Please approve payment of attached invoice before we process payment	invoice balance payment comfirmation pdf.htm
RE: Shipping docs PO 2211& 785521 -Draft invoice comfirmation	shipping docs invoice BL comfirmation pdf.htm
Your parcel has arrived urgent pick up needed today.?	DHL AWB #8347630120622.pdf.htm

事例: マルウェア(Infostealer、Downloader など)

メールの件名	添付ファイル
20220512 Order 00177	20220512 Order 00177.pdf (78kb).img
TT05122022 Updated Payment List – 2022.12.05 Re: Contract for PO064005	TT0512202201.img
RFQ12072022	RFQsheet12072022.rar
Fw: RFQ#223090 Request quotation	RFQ 223090.PDF.7z
RE: BALANCE PAYMENT	Swift Copy.img
NEW ORDER #306078910	P.O #306078910.xls
CIF_ MW1000CW (NEW) QUOTATION	CIF_ MW1000CW (NEW) QUOTATION.r00
Re[5]: very wonderful pictures imortant	prv-photos.exe
RE: WRONG IBAN/PAYMENT RETURNED	Transfer Application.img
Re: nuevo pedido #lista de precios y menor tiempo de entrega	lista de cotizaciones.img
very cool images imortant	sex_img.gif.pif
beautiful pictures	superact.exe
RE: NEW ORDER PI	IMG09122201.img
smart pics	coolaction.gif.exe
Re[5]: beautiful photos	privaction.jpg.pif
Re[2]: super cool picture PRIVATE	best__action.jpg.pif
Re: RETURN PAYMENT TT (Ref 0180066743)	TT12052022.img
PO No. ANOP0658	PO_No._ANOP0658.img
cool pictures only for you	sexphotos.jpg.exe

ASEC 分析チームは上記の配布事例をもとに、ユーザーが注意しなければならないキーワードを選定した。キーワードがメールの件名に含まれていたり、同じような特徴がある場合、攻撃者が送信したフィッシングメールである可能性があるため、特に注意する必要がある。

注意するキーワード: 「取引明細書」

メールの中に韓国語で「取引明細書」のキーワードを使用し、特定の業者に偽装してマルウェアが配布されていた。以下の事例は HTML 形式のファイルをメールに添付していた。添付ファイルはログインページに偽装したフィッシングファイル(FakePage)である。

注意するキーワード: 画像ファイルに偽装した「PIF」

フィッシングメールのうち、イメージファイルを添付したように偽装(privaction.jpg.pif)する Worm 類のマルウェアが確認された。拡張子は以下のように*.pifで作成されて配布されており、これはEXE拡張子のような実行可能なファイルである。

偽のログインページ(FakePage) C2 アドレス

攻撃者が作った偽のログインページにユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者 C2 アドレスである。

hxxps://reverse-nature.mymeriva.com/.well-known/pki-validation/exe.php
hxxps://formspree.io/f/mlevkpjv
hxxps://satursuions.cc/MOyhoia/feedback.php
hxxps://submit-form.com/FgKiWexJ
hxxps://gojobs.in/xzx/dhl.php

フィッシングメールの攻撃予防

フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。

確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
アンチウィルスをはじめとしたセキュリティ製品を利用する。

フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。

Phishing for Information(Reconnaissance, ID: T1598^[1])
Phishing(Initial Access, ID: TI1566^[2])
Internal Spearphishing(Lateral Movement, ID:T1534^[3])

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: 総計

Tagged as: フィッシング, phishing