ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年01月08日から01月14日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは情報窃取マルウェア(Infostealer、38%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。その次に多かったタイプは偽のページ(FakePage、34%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下の<偽のログインページ C2>を参照
3番目に多いタイプは脆弱性(Exploit、12%)であった。脆弱性タイプは大きく数式エディタ(EQNEDT32.EXE)脆弱性が含まれたドキュメントファイルが確認された。その他にもダウンローダー(Downloader、8%)、ワーム(Worm、7%)、トロイの木馬(Trojan、1%)タイプが確認された。
フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。一週間のフィッシングメール添付ファイルのタイプにおける特異事項として、ONE 拡張子(ONE、3%)のファイル配布が確認された。OneNote は Microsoft が開発したデジタルノートアプリで、Word プロセッサープログラムとは異なりページ内のどこにでもコンテンツを挿入することができるのが特徴である。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTML、SHTML、HTM)および PDF ドキュメントで配布されていた。情報流出型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは ZIP、RAR、GZ などの圧縮ファイル、IMG ディスクイメージファイル、XLS、ONE ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されている。Web ページスクリプトファイル、PDF で拡散する偽のページを除いたマルウェアは、脅威タイプに関係なく様々なファイル拡張子で配布されていた。
配布事例
2023年01月08日から01月14日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| Confirmed Order ref. 23979 | MX-3114N_20220908_011044 (1).htm |
| Incoming Shipment Notification for ******@********.com | AWB#93230 .html |
| Deposit – P/I SYW220 / Re: 2.5gPP | Deposit USD9,009.00 PI SYW220.pdf.htm |
| Deposit – P/I SYW220 / Re: 2.5gPP | SWT-#AG027392KL282.jpg.htm |
| [DHL] shipping invoices for payment | invoice & Tracking NumberHT2.htm |
| [DHL] shipping invoices for payment | payment_doc & shipment#7221HKT.shtml |
| Re: Please Find Attached | Document.htm |
| Fw: Statement(SOA) | Statement.pdf |
| FW: Quotation – RFQ request: From Win-Win Trade Co.,Ltd | New_Order.Pdf.htm |
| FedEx Shipment Arrival Notification | AWB#989345874598.html |
| Urgent/Fiam – order confirmation | OC0000352877.htm |
| Project for 2023 order | doc22314.shtml |
| Factura electrónica – 3990575 | f7720cf0-9645-11ed-8372-44a842253043.html |
| Your DHL Express shipment with waybill number 4608948875 is on its way. | DHL SHIPPING DOCUMENTRECIEPT.html |
| Factura electrónica – 4537675 | 1fd9fbcf-9646-11ed-b1d1-44a842253043.html |
| CENTRUM – Payment Documents for Validation | CENTRUM – Contract Documents.html |
| Fw: Statement(SOA) | Statement.pdf |
| VENDOR FORM INVIOCE. | VENDOR-INVOICES.shtml |
| RE: FW: Shipment # | Shipping-Document#0004-PDF.htm |
| AW: Purchase Order 291765 – JF KOREA Co.,Ltd For Urgent Delivery | Purchase Order JF KOREA Co Ltd JAN.html |
| Salary Upgrade Review (Final Post-Covid-19 listing) | Salary_Upgrade_ Datasheet_January_ 2023.zip |
| Artel Electronics LLC – PROPOSAL | Artel Electronics LLC – PROPOSAL .html |
| Factura Pendiente – 576599 | b7bde4ee-9657-11ed-bd71-44a842253043.html |
| Confirm your delivery address | AWB#3230922.html |
| NEW ORDER SUSFINE-YJ207.pdf | NEW ORDER SUSFINE-YJ2022.pdf.htm |
| VENDOR FORM INVIOCE. | VENDOR-INVOICES.shtml |
| FedEx Arrival Notice. | FedEx – vims7- AWB.pdf.htm |
| Segue (NFSe) N.003751166 | NFSe006457402.html |
| RE: FW: Shipment # | Shipping-Document#0004-PDF.htm |
| Zahlungsdetails | Bank receipt.pdf |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| Unpaid Invoice IQ0075440 | Invoice IQ0075440.one |
| Re: 2023 JAN ORDER BTB LC SCAN DOCUMENT COPY OF SANS TEST PACKGING [IMPORTANT] | January-Payment.rar |
| Urgent booking for Honeymoon | Passport and Id for booking details.docx |
| fw: informe de pago devuelto | pago devuelto.pdf.img |
| Invoice #0048006 DUE | Invoice-48006.one |
| Wire Transfer | payment.img |
| Wire Transfer | REF122553.img |
| Re: SOA Detail Payment for shipment invoices from Nov 11th – Jan 3rd | SOA Payment TT application details 10012023.xls |
| Re: NEW PROFORMA INVOICE ( PI#CNW202356034 ) – Possible E.T.D schedule (Est. 17 Jan) | PROFORMA INVOICE CNW202356034.xls |
| RE: Shipping PI CS/2022-23/024 Documents & Shipment advise Est. E.T.D |
SHIPPING DOC BLBNTHCM22120020 INVOICE PL 20230110.xls
|
| RE: Urgent Shipping Documents – MV. TAHO EUROPE | Shipping Documents 20230113.xls |
| NEW MID – FEBRUARY ORDER PO2202857 / Shipment delivery E.T.D FEB 15 | ADM NEW FEBRUARY ORDER PO2202857.xls |
| sending you my pix | mypic.zip |
| Request For Quotation | RFQ.rar |
| Thanks – Payment has been received. | AmericanExpress-Online-Services-Notification.zip |
| Vodafone PXT notification | PXTpicture Multimedia Message.zip |
| Transaction Receipt | Jackgreen-Energy-Transaction-Receipt.zip |
| Tax Agent Report – Delayed Tax Returns | TaxAgentReport.xls.zip |
| DHL Shipment Notification | Payment copy.gz |
| DHL Shipment Notification | doc.rar |
| sending you my pix | mypic.zip |
| TPG Internet: Equipment Order 8620430557 | I14516978.zip |
| Thanks – Your payment has been received. | Payment Details 79142586.zip |
| DHL Shipment Notification | dd.rar |
| AWB 50326756532 – Shipping Documents |
DHL AWB – COMMERCIAL INVOICE, BILL OF LADING,_ETC DOC.gz
|
| NEW ORDER | PO- 3861209534.zip |
| New enquiry | Quote # QU20094 – 13-01-2023.img |
| Re: Quotation… | Quotation_DEC-2022.rar |
| Delivery failed | message.zip |
| very nice pics only for you | my-scene.jpg.scr |
| MAIL SYSTEM ERROR – RETURNED MAIL | document.zip |
| very wonderful photos only for you | private_imgs.jpg.scr |
| Returned mail: see transcript for details | attachment.zip |
| sexy pictures | myphotos.gif.scr |
| Message could not be delivered | document.zip |
注意するキーワード: 「ONE」拡張子
偽のページ (FakePage) C2 アドレス
偽のページのうち、攻撃者が作った偽のログインページにユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者 C2 アドレスである。
- hxxps://erfgvcv.ga/abig/pdfnglw.php
- hxxps://formspree.io/f/xbjejppb
- hxxps://benti-energies.com/ftmm/Adhl.php
- hxxps://vladiolitrade.ru/lk/zender.php
- hxxps://formspree.io/f/xdovnyrz
- hxxps://iohygf.cf/content/msxl.php
- hxxps://earthsaviours.net/dh/hl.php
- hxxps://edcgfd.cf/11/msxl.php
- hxxps://proshield.ie/wp-admin/HZ/remit.php
- hxxps://barajmwtii.rest/dhl/processor1.php
- hxxps://www.niemands-land.nl/wp-admin/logsbox0/login.php
- hxxps://erfgvcv.ga/webq/msxl.php
- hxxps://iohygf.cf/content/msxl.php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計