ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年01月22日から01月28日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは情報窃取マルウェア(Infostealer、44%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。その次に多かったタイプは偽のページ(FakePage、30%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下の<偽のログインページ C2>を参照
その他にもダウンローダー(Downloader、13%)、トロイの木馬(Trojan、8%)、ワーム(Worm、6%)が確認された。
フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。 一週間のフィッシングメール添付ファイルのタイプにおける特異事項として、ONE 拡張子(ONE、4%)が最近登場して以降増加し続けていることが確認できる。OneNote は Microsoft が開発したデジタルノートアプリで、Word プロセッサープログラムとは異なりページ内のどこにでもコンテンツを挿入することができるのが特徴である。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTML、SHTML、HTM)および PDF ドキュメントで配布されていた。情報流出型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは GZ、ZIP、RAR、R00、R15、R17、TAR などの圧縮ファイル、IMG、ISO ディスクイメージファイル、ONE、XLS、XLSX、PDF ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されている。Web ページスクリプトファイル(HTML。HTM、SHTML)、PDF で拡散する偽のページを除いたマルウェアは、脅威タイプに関係なく様々なファイル拡張子で配布されていた。
配布事例
2023年01月22日から01月28日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
メールの件名 | 添付ファイル |
re_mise_en_demeure | image.pdf |
FedEx – 983679934276 | webmaster Voucher.shtml |
Re:Urgent payment order | Payment#adv.shtml |
Fw: Re: Re: PL&CI-68115A 30% Deposit | kimfunds invoicePDF.shtml |
Document sent via WeTransfer | WeTransfer files_*******@********.**.**.Htm |
**@*********.**.**Documents | Doc_____________**@*********.**.**.htm |
Асtiоn Nееdеd: Vеrify Yоur Ассоunt? | [Notification]#1901992310.pdf |
Kookmin Bank 送金コピー | Doc00135_xls .shtml |
Pay adjustments report | 2023 Salary Increases | Message.html |
RE: TT CONFIRMATION OF THE PAYMENT | Payment#adv.shtml |
アップデート: あなたのパスワードが今日で満了します? | *******.com upgrade.htm |
Re:Urgent payment order | Payment#adv.shtml |
[FedEx] 到着通知書-船積書類原本– 233*****66 | Original_Shipping Document_ P_L & B_L Copies.Pdf.htm |
[FedEx] 到着通知書-船積書類原本– 233*****66 | AWB#9292929390.Pdf.htm |
Pay adjustments report | 2023 Salary Increases | Message.html |
RFQ-20230123-HY12 – ADEX | RFQ-20230123-HY12.html |
You have received Your Files/Documents via WeTransfer 1/24/2023 12:35:55 a.m. | Files pdf.html |
事例: マルウェア(Infostealer、Downloader など)
メールの件名 | 添付ファイル |
Swift Copy – Payments | TRF0428-08110122011-01232023.gz |
PO#8920118273_January 2023 | PO#8920118273_January 2023.gz |
very wonderful images imortant | the-pic.gif.pif |
order | 33690120233531MES_S Quote.img |
RE: inquiry | Quote_2200001688.img |
REMITTANCE ADVICE | Payment advice.rar |
FW: DEMANDE DE SWIFTS (SWIFT REQUEST) | DEMANDE DE SWIFTS (SWIFT REQUEST),pdf.zip |
Invoice#673763 | Invoice #673763.iso |
FW: RE: RF Quotation | Doc-622.xls |
RFQ-20000 TO 500000 MT/BARELLS TEST by SGS | AneVa Mariusz Klejnowski TENDER PURCHASE.r00 |
Quotation | Quote FCCL-1000000033.img |
REQUEST FOR QUOTATION | Inquiry_specification.img |
confirmaci/datos_banc arios | facturas y datos bancarios.pdf.img |
Re[4]: very beautiful images don’t show | priv_pctrs.jpg.pif |
Re: very nice pictures very important | best_plp.pif |
FW: RE: RF Quotation | Doc-623.xls |
RE: 2nd Remittance // Shipping | INVOICE10321.r17 |
Re: **TOP URGENT** Shipping Documents | Shipping Doc.r15 |
Re: Sales contract SC-22-00005 | SC-22-00005_PDF.zip |
RE:BALANCE REMITTANCE | TR0009.r00 |
DHL Express_AWB: 80258723268765 | AWB 80258723268765.tar |
Re[5]: very nice pics only for you | wild-pctrs.pif |
FW: Payment Advice | Payment Copy,pdf.zip |
MONEY REQUIRE | TReftt1272023-pdf.gz |
Unpaid Invoice 0059012342 DUE | Invoice 0059012342.one |
Payment Advice – Ref: [HSBC1057029141] /RFQ Priority Payment / Customer Ref: [PI10771QT90] | HSBC Payment Advice_pdf.gz |
PTZ| Materials & Contracts //TENDER_Mechanical Bulk Materials | PTZ Materials & Contracts tender documents electronic.r00 |
RE: SWIFT DETAILS- TT DETAILS-BANK TRANSFER | SWIFT COPY.r00 |
RE: Request for quote | PO.zip |
30 % advance order | PO023010.zip |
Approved Purchase Order | Approved Purchase Order,pdf.rar |
TR: DEMANDE DE SWIFTS (SWIFT REQUEST) | DEMANDE DE SWIFTS (SWIFT REQUEST),pdf.rar |
Entrega a pedido de DHL | Documentos.xlsx |
Shipping Documents for first order Inv Bl PL | Shipping Documents for first order Inv Bl PL.zip |
Re: RETURN PAYMENT TT | TTRT0124013-pdf.gz |
beautiful picture | privateplp.exe |
注意するキーワード: 「通知書」、「原本」
偽のページ (FakePage) C2 アドレス
偽のページのうち、攻撃者が作った偽のログインページにユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者 C2 アドレスである。
- hxxps://affectionate-brattain[.]93-185-166-84[.]plesk[.]page/exceldkd/DOCnewexcel[.]php
- hxxps://makolia[.]co[.]za/mmmmm/newppdfff[.]php
- hxxps://submit-form[.]com/KlBB0k1E
- hxxps://bkfkr[.]000webhostapp[.]com/kr/kr/act[.]php
- hxxps://formspree[.]io/f/myyazkbv
- hxxps://naotto89[.]chowder[.]jp/33/log1234567[.]php
- hxxps://orangedalium[.]cc/YqSolKJ/feedback[.]php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計