ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年01月29日から02月04日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは情報窃取マルウェア(Infostealer、39%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。その次に多かったタイプは偽のページ(FakePage、36%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下の<偽のログインページ C2>を参照 それ以外にもダウンローダー(Downloader、9%)、脆弱性(Exploit、4%)、トロイの木馬(Trojan、4%)、ワーム(Worm、4%)、バックドア(Backdoor、2%)、ドロッパー(Dropper、1%)タイプが確認された。 フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。 一週間のフィッシングメール添付ファイルのタイプにおける特異事項として、ONE 拡張子(ONE、4%)が増加し続けていることがあげられる。OneNote は Microsoft が開発したデジタルノートアプリで、Word プロセッサープログラムとは異なりページ内のどこにでもコンテンツを挿入することができるのが特徴である。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTML、SHTML、HTM)および PDF ドキュメントで配布されていた。情報流出型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは GZ、ZIP、RAR、R00、R15、R17 などの圧縮ファイル、IMG ディスクイメージファイル、ONE、XLS、XLSX、PDF ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されている。Web ページスクリプトファイル(HTML、HTM、SHTML)、PDF で拡散する偽のページを除いたマルウェアは、脅威タイプに関係なく様々なファイル拡張子で配布されていた。
配布事例
2023年01月29日から02月04日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| PO ON/GLKDD 9636228 | POMO9636228.htm |
| TAX INVOICE | TAX INVOICE.shtml |
| Fwd: Venturx Invoices (urgenly needed) | Invoice-Order#.html |
| ORDER.654768976 | PO.654768976.html |
| Kookmin Bank | Doc00135_xls .shtml |
| Comercial Invoice. | PO.NO.230256789.shtml |
| PACKING LIST – SHIPPIING DOCUMENT | Shipping Doc-2023003932.htm |
| PACKING LIST – SHIPPIING DOCUMENT | Packing List __ Bill of Lading Copies.htm |
| Remittance From MP Hants Ltd to hckim Attached | Remittance For hckim .shtml |
| Please Quote Order # 2851 with delivery. | PO_.html |
| 注文発送確認 | DOC101.html |
| RE: UPDATED STATUS – Invoices for payment | Payment Advice 1901202393820.htm |
| [FedEx] 到着通知書 – 船積書類原本– P/L-B/L2327821366? | 配送送り状.Pdf.htm |
| [FedEx] 到着通知書 – 船積書類原本– P/L-B/L2327821366? | 配送送り状_ KR039929203.Pdf.htm |
| Comercial Invoice. | PO.NO.230256789.shtml |
| TAX RECEIPT FOR JANUARY 2023 | TAX RECEIPT JAN 2023 .html |
| *** Kindly Download Your Files via WeTransfer! | Files pdf.html |
| EFT Direct Deposit received on Wednesday.18.2023 | EFT_Remmitance#854920_statement.htm |
| 重要メール件名 [大韓航空] 国家別入国条件および検疫必要書類案内 | Shipment#BL#PDF.html |
| gerald.zarate ACCOUNT TERMINATION | Quote.pdf |
| Unpaid Invoice 0059012342 DUE | Invoice 0059012342.one |
| Notificacion de recepcion de la factura Ref (906189) | 01_365896d-a55z-7lkj-lamshd-36598e32mb0101.pdf |
| 些細な無効化通知!! | ***.com ユーザー契約ポリシー.htm |
| *******@*********.co.kr Documents | Doc_____________*******@*********.co.kr.htm |
| Equipment, Materials and Services / HDEC | Request_for_Quotation-10000257259.htm |
| Factura enero2023 Ref (857622) | CFEG380213QM5_Factura_B_43609_BA8FE438_D923_4772_BA1_166ED8359417.pdf |
| Invoice #0088321 DUE | Invoice88321.one |
| Invoice#001191 DUE | Invoice#91.one |
| New project 見積依頼の件 | project SG.REV.OFFER..html |
| Unpaid Invoice 0059012342 DUE | Invoice 0059012342.one |
| Remittance_Advice_***_-_Payme | 766567.htm. |
| PO10116145444 | PO10116145444.html |
| Anbei ist Ihre Offizielle Touristik Gewinnbenachrichtigung. MFG, Mark Kruger | A Offizielle Touristik Gewinnbenachrichtigung.pdf |
| request for quotation | Quote.pdf |
| Llego tu Factura Digital CFE Febrero2023 Ref (886436) | TuCuentaCFE_Feb-2023-43609_BA8FE438_D923_4772_BA1.pdf |
| Pay adjustments report | 2023 Salary Increases | message.html |
| 重要メール件名 [大韓航空] 国家別入国条件および検疫必要書類案内 | Shipment#BL#PDF.html |
| Voicemail from Zora Lexie | VM274285124.html |
| Fwd: Envio de Factura No. F135 del 31/01/2023 CLIENT – (983831) | CFEG380213QM5_Factura_B_43609_BA8FE438.pdf |
| RE: ยืนยันการสั่งซื้อ-INV? | Order Inv.html |
| RE: inquiry | Quote_2200001688.img |
| REMITTANCE ADVICE | Payment advice.rar |
| FW: DEMANDE DE SWIFTS (SWIFT REQUEST) | DEMANDE DE SWIFTS (SWIFT REQUEST),pdf.zip |
| Invoice#673763 | Invoice #673763.iso |
| FW: RE: RF Quotation | Doc-622.xls |
| RFQ-20000 TO 500000 MT/BARELLS TEST by SGS | ***** ******* ********** TENDER PURCHASE.r00 |
| Quotation | Quote FCCL-1000000033.img |
| REQUEST FOR QUOTATION | Inquiry_specification.img |
| confirmaci/datos_banc arios | facturas y datos bancarios.pdf.img |
| Re[4]: very beautiful images don’t show | priv_pctrs.jpg.pif |
| Re: very nice pictures very important | best_plp.pif |
| FW: RE: RF Quotation | Doc-623.xls |
| RE: 2nd Remittance // Shipping | INVOICE10321.r17 |
| Re: **TOP URGENT** Shipping Documents | Shipping Doc.r15 |
| Re: Sales contract SC-22-00005 | SC-22-00005_PDF.zip |
| RE:BALANCE REMITTANCE | TR0009.r00 |
| DHL Express_AWB: 80258723268765 | AWB 80258723268765.tar |
| Re[5]: very nice pics only for you | wild-pctrs.pif |
| FW: Payment Advice | Payment Copy,pdf.zip |
| MONEY REQUIRE | TReftt1272023-pdf.gz |
| Unpaid Invoice 0059012342 DUE | Invoice 0059012342.one |
| Payment Advice – Ref: [HSBC1057029141] /RFQ Priority Payment / Customer Ref: [PI10771QT90] | HSBC Payment Advice_pdf.gz |
| PTZ| Materials & Contracts //TENDER_Mechanical Bulk Materials | PTZ Materials & Contracts tender documents electronic.r00 |
| RE: SWIFT DETAILS- TT DETAILS-BANK TRANSFER | SWIFT COPY.r00 |
| RE: Request for quote | PO.zip |
| 30 % advance order | PO023010.zip |
| Approved Purchase Order | Approved Purchase Order,pdf.rar |
| TR: DEMANDE DE SWIFTS (SWIFT REQUEST) | DEMANDE DE SWIFTS (SWIFT REQUEST),pdf.rar |
| Entrega a pedido de DHL | Documentos.xlsx |
| Shipping Documents for first order Inv Bl PL | Shipping Documents for first order Inv Bl PL.zip |
| Re: RETURN PAYMENT TT | TTRT0124013-pdf.gz |
| beautiful picture | privateplp.exe |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| Re: Inquiry | Product list.zip |
| Re: PURCHASE ORDER | ORDER00388737838.PDF.XXE |
| FT PHAGOCLEN (RFQ:#2020-2022 Re-Order) | FT PHAGOCLEN INV#2020-2022.r00 |
| order | 27012023164648-0001.IMG |
| RE: PROPUESTA PEDIDO | new order.doc |
| RE, Payment-Advice: Ref743009 | Payment TT.rar |
| PO for Acknowledgement | PO-FSSC-22-0102-R02.gz |
| Payment Request | Payment Request-pdf.gz |
| SOA – NWS SHIPPING – CP WORLD MAURITIUS – REMITTANCE SLIP. | 80893_payslip.docx |
| RE: OUTSTANDING PI// SOA | PI.r17 |
| RE: Documentacion para alta como proveedor | Inv_02_02_#4.zip |
| RE: Request for quote | PO.r00 |
| NEW PO | NEW PURCHASE ORDER #4312652902.gz |
| FW: Technical Clarification No: 1 | TC 1 AHTSA 1093 1094 RO.pdf.gz |
| ENERCOV 2023 RFQ (PO 2302051) | ENERCOV 2023 RFQ (PO 2302051).r01 |
| payment | 2023 Swift MT03pdf 00003747727369.r00 |
| [FedEx] 収入明細案内整理。 | New order & Specifications.xls.tgz |
| Payment copy | payment.rar |
| PI مناقصه و پرداخت تایید شد | Signed Tender PI & Payment Order pdf.zip |
| Statement for your Account under Customer ID 356-XXXXXX | HSBC Account Statement 03FEB2023_pdf.gz |
| Cool Stuff!! | HeartsOnFire.eXe |
| : Re: Re: Re: Re: Re: Re: Request for Proforma Invoice | Purchase Order list attached.zip |
| AW: PO-000001306 | PO-000001306.IMG |
| A new invoice is available (Invoice #Q0092871) | Invoice #Q0092871.one |
| Interesting.. | HeartsOnFire.eXe |
| Payment Details | DOCUMENT-pdf.gz |
| FW: FEB 2023 NEW QUOTE | RegScan PI-20230130.docx |
| Interesting.. | Fun_Games.eXe |
| BBVA-Confirming Facturas Pagadas al Vencimiento | ConfirmingPagadas.rar |
| RE: PO: 879204/1 FCR Draft 1 EFCR YAX1905070 | E-FCR Docs_pdf.gz |
| PROCESSIING CONTRCT SY2-WT2103-23. | PS#049847646-4094876478MBN.001 |
| Interesting.. | MyHeart4u.eXe |
| RE: RE: Updated SOA 210827//: Statement 210826 | STATEMETNT OF ACCOUNT.rar |
| Cool Stuff!! | Happy_XMas.eXe |
| AW: PO-000001306 | PO-000001306.IMG |
| MONEY REQUIRE | Purchase Order-pdf.gz |
| Re: Draft Docs Confirmation against PI#CK2023M1903 | DRAFT DOCS INVCK2023M1903 BL PL.xls |
| Re: SOA Detail Payment for shipment invoices from Nov 11th – Jan 12 | STATEMENT OF ACCOUNT CERIE 10134 Payment Advise.xls |
| By E-Mail send: Delotser Transport Operator – 0085437719 | 0085437719.IMG |
| RFQ-20000 TO 500000 MT/BARELLS TEST by SGS | RFQ-20000 TO 500000 MTBARELLS TEST by SGSPDF.r00 |
| FW: Technical Clarification No: 1 – WOR/CTC/HC-GP/2018/188 AHTSA/1093 & 1094 , 1095 – PROVISION OF ANCHOR HANDLING AND TUG SUPPLY VESSEL (AHTS) FOR PETRONAS CARIGALI SDN BHD | TC 1 AHTSA 1093 1094 RO.xlsm |
| VSL: M/V COMMON CALYPSO, ORDER: JAN-A2623B | MV COMMON CALYPSO.xls |
| Re:invoice and PL 26/01/2023 | invoice and PL 26012023.zip |
| Prompt Response | DoubleClick to DOWNLOAD.one |
| ETSO Kodu hk. | ETSO_ Kodunuz40Z000004399566L..exe.xz |
| Re: [Reject]RV: OFERTA PO# 000938882 NSS | ApplicationReject_68390(Jan31).one |
| PR.4828321- Request for Quotation | ATI HANDELS GmbH | RFQ #4828321.doc |
| Hi! | HeartsOnFire.eXe |
| Payments | 2023013150028399456770010.gz |
| RE: Capital Tenders Group LTD PRICE REQUEST | Capital Tenders Group LTD PRICE REQUEST DOC.r11 |
| Nueva lista de pedidos y productos solicitados | #Nueva lista de pedidos y productos solicitados.pdf.img |
| FOB Shenzhen price for its MOQ | FOB Shenzhen price for its MOQ.r02 |
| FW: Invoice & Signed Contract -NEW ORDER-038408 | Invoice & Signed Contract 20230201.gz |
| FW: PO7574 | New Order PO039445.Pdf.exe |
| MONEY REQUIRE | ttref01312023-pdf.gz |
| ENEL ITALIA SpA_RFQ12345HG7$$ | RFQ12345HG7Solar&Wind Procurement.r00 |
| Paid Invoice | invoice.pdf.z |
注意するキーワード:「ONE」
偽のページ (FakePage) C2 アドレス
偽のページのうち、攻撃者が作った偽のログインページにユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者 C2 アドレスである。
- hxxps://submit-form[.]com/QgFJw0n1
- hxxps://sagaschool.vip-saga.com[.]ua/wp-includes/zonic/newopo.php
- hxxps://newskoodai[.]com/press/bgLf4WBIDJaAjbgLf4WBIDJaAj
- hxxps://lifeushard[.]cyou/file.php
- hxxps://formspree[.]io/f/xdovnyrz
- hxxps://formspree[.]io/f/mgebolql
- hxxps://dearasia.bambooairways[.]com/wp-admin/inke/Macus_ssw.php
- hxxps://curriculums[.]cc/Xwery08/feedback.php
- hxxps://bkfkr.000webhostapp[.]com/kr/kr/act.php
- hxxp://charlesnewmarch.co[.]uk/wp-includes/4T4/mailform.php
- hxxp://benchmarkpk[.]com/wp-includes/@/cloudlog.php
- hxxp://accup.pluspluggg[.]com/mailb_fix.php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 総計