ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年01月15日から01月21日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、最も多いタイプはの偽のページ(FakePage、73%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下の<偽のログインページ C2>を参照 その次に多かったタイプは情報窃取マルウェア(Infostealer、10%)である。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。3番目に多いタイプはトロイの木馬(Trojan、9%)タイプであった。その他にもダウンローダー(Downloader、5%)、脆弱性(Exploit、2%)、ワーム(Worm、2%)タイプが確認された。
フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。 一週間のフィッシングメール添付ファイルのタイプにおける特異事項として、ONE 拡張子(ONE、4%)のファイル配布が確認された。OneNote は Microsoft が開発したデジタルノートアプリで、Word プロセッサープログラムとは異なりページ内のどこにでもコンテンツを挿入することができるのが特徴である。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTML、SHTML、HTM)および PDF ドキュメントで配布されていた。情報流出型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは GZ、ZIP、RAR、R00 などの圧縮ファイル、IMG ディスクイメージファイル、ONE、DOC ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されている。Web ページスクリプトファイル、PDF で拡散する偽のページを除いたマルウェアは、脅威タイプに関係なく様々なファイル拡張子で配布されていた。
配布事例
2023年01月15日から01月21日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| Kookmin Bank 送金コピー | Doc00135_xls .shtml |
| UPS Ship Notification, Paperwork is Enclosed | UPS Shipment Paperworks **@***.**.**.HTM |
| Confirm Document. | VENDOR-INVOICES.shtml |
| Fw: Re: Re: PL&CI-68115A 30% Deposit | supportInvoice.pdf.html |
| you have received some files via WeTransfer | WeTransfer files_*******@******.**.**.Htm |
| New Order Confirmation? | Invoice rquest.htm |
| RE: ACService Report 29-12-2019 | Document_164_Unpaid_-1-12.pdf |
| RE: Re: RE: Re: RE: Re: RE: Re: PO 910953 & 910954 | PO 910953 & 910954.htm |
| Facturacion digital | Factura_21876.html |
| order confirmation | OC0000352877.htm |
| Urgent_message…? | 6fCpFNdAHBdGMvr9bLBM2CAiT1hNXV.pdf |
| LETTER OF PROTET – Master refused to sign/ hold inspection | LETTER OF PROTEST (2).pdf |
| RE: RFQ ref. MOS/087 -1110001693-** | Document_228_Unpaid_-1-12.pdf |
| Artel Electronics LLC – PROPOSAL | Artel Electronics LLC – PROPOSAL .html |
| Re: Fwd: Remittance advise copy | Bank Scan Copy _5485 PDF.shtml |
| アップデート:あなたのパスワードが本日満了します | ******.com upgrade.html |
| Factura pendiente 736241 | 4046a0a1-9c84-11ed-8aa8-44a842253043.html |
| Artel Electronics LLC – PROPOSAL | Artel Electronics LLC – PROPOSAL .html |
| Ningbo Yibin Electronic Technology Purchase Requirements | Ningbo Yibin Electronic Technology Purchase Requirements 2023.pdf.html |
| Mining.transaction.0.7495.BTC | Money.transfer.0.7495.Bitcoin5xYOHi9s6n5MVHjgISlzhz3WrM80Ue2GkUVKJFigGDAHUtI.pdf |
| Equipment, Materials and Services / HDEC | Request_for_Quotation-10000257259.htm |
| Ningbo Yibin Electronic Technology Purchase Requirements | Ningbo Yibin Electronic Technology Purchase Requirements.html |
| Urgent_message…? | 6fCpFNdAHBdGMvr9bLBM2CAiT1hNXV.pdf |
| Facturacion electronica | doc-Factura_91536.html |
| Documents | Doc____________****@**********.**.**.htm |
| Invoice #0048006 DUE | Invoice #0048006.one |
事例: マルウェア(Infostealer、Downloader など)
| EMLName | FileName |
| Prompt Response | DoubleClick to DOWNLOAD.one |
| BSL payment $24, 626.00 PO:ASO/1293/23? | BSL payment $24, 626.00 proforma invoice.doc |
| Ref_0180066743 | PAGO TT (Ref 0180066743).img |
| 見積送り状-76567 | 09876543234578900R.PDF.GZ |
| 見積送り状-76567 | DC098765445678-098.PDF.Z |
| Invoice #0048006 DUE | Invoice #0048006.one |
| FUND TRANSFER EURO 642k Ref.202230116 | EURO 642k Ref20230116_pdf.rar |
| PO 4501375017 CHINA | Purchase Order 4501375017.img |
| 私の 2018 帰属勤労所得年末精算の還付額は?(大韓納税者連盟提供)? | 年末精算計算機.xlsm |
| Invoice #0048006 DUE | Invoice #0048006.one |
| very cool photo | cool-act.gif.pif |
| NEW PO – Urgent | NEW PURCHASE ORDER #1000027853.gz |
| E-DEKONT | E-dekont.pdf.rar |
| Re:_follow_up:_payment january | 2023 Swift MT03pdf 00003747727369.r00 |
| Re: Quotation | 10690531TEZ_S Quote.img |
| New Order | purchase01162023.img |
| Unitex SHA – Invoice & SOA ready for dispatch | Invoice & SOA.pdf.zip |
| Re: Quotation | 22690120220531MES_S Quote.img |
| [Request received] Please Confirm All Due Invoices Paid Urgently | 2023 Swift MT03pdf 00003747727369.r01 |
| Wire Transfer | payment01182023.img |
| Fwd: Payment Swiift Copy -BCS_ECS9522022111819180037_7307_952 | Payment Swift Copy .pdf.zip |
| Purchase Order POP2200230 | Purchase Order List_pdf.gz |
| Re[2]: very wonderful pictures FOR YOU ONLY | prv-images.exe |
| Aw: Statement of Accounts | Statement of Accounts for Jan. 2023.gz |
| New Order | Order.01192023.zip |
| Re[3]: smart photo | wildpctrs.jpg.scr |
注意するキーワード: 「送金コピー」
偽のページ (FakePage) C2 アドレス
偽のページのうち、攻撃者が作った偽のログインページにユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者 C2 アドレスである。
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計