ASEC 分析チームでは、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年02月05日から02月11日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、最も多いタイプはの偽のページ(FakePage, 75%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下の<偽のログインページ C2>を参照 その次に多かったタイプは情報窃取マルウェア(Infostealer, 12%)である。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。それ以外にもダウンローダー(Downloader, 9%)、ワーム(Worm, 3%)、脆弱性(Exploit, 2%)、トロイの木馬(Trojan, 2%)、バックドア(Backdoor, 1%)が確認された。 フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。 一週間のフィッシングメールの添付ファイルタイプの特徴としては、偽のページが今週は多数収集されており、スクリプトの HTML 拡張子(HTML、69%)が最も多い比率を占めていた。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTML、HTM)ドキュメントで配布されていた。情報の窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは GZ、ZIP、R00 などの圧縮ファイル、IMG ディスク画像ファイル、ONE、DOCX、DOC、PDF ファイルなどを含む様々なファイル拡張子で、メールに添付されている。
配布事例
2023年02月05日から02月11日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| 新たなファイルの受信に成功しました。 | Documents Folder.html |
| EFT Direct Deposit received on Wednesday.18.2023 | EFT_Remmitance#854920_statement.htm |
| FW: Pending ACH For *** | ACHPay.htm |
| Package Delivery/ Arrival / Address Confirmation? | AWB_879990589.html |
| Jan/Feb new order | SC-new-order.Xsl.htm |
| [大韓航空] 国家別入国条件および検疫必要書類案内 | Shipment#BL#PDF.html |
| VENDOR FORM INVIOCE. | VENDOR-INVOICES.shtml |
| January new order | January-new-order.Xsl.htm |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| Quotation | PO: GII-19146-22-DG-RP | Quotation PO GII-19146-22-DG-RP.img |
| Fwd: Invoice NO. INV/2023/0024 Payment_Reeipt | Payment Slip_2023_0024.docx |
| RE: Solicitud de estados de Pedido | Orden de compra.pdf.img |
| payment | 220123-inv-224.docx |
| 検知パターンを要請します。 | [KBS 日曜診断]アンケート用紙.docx |
| A new invoice is available (Invoice #Q0092871) | Invoice #Q0092871.one |
| Re: ****です。納品詳細書添付 | ComplaintCopy_45636(Feb01).one |
| Re: RE: [*******] G.Startup 対象素材発掘アイディアワークショップ開催のご案内(必読) | DocumentsFolder_844257_Feb_03.one |
| Re: **図書館利用申請書 | ComplaintCopy_60768(Feb01).one |
| A new invoice is available (Invoice #0074352) | Invoice #0074352.one |
| Banco_Santander | doc#_comprobante.pdf.img |
| Re: Did you authorize the payment? | TT_Advance.docx |
| Quotation | Quotation_Corodex Trading L.L.C.doc |
| FWD: URGENTLY FYI: FAILED TRANSACTION (FUND RETURNED) | TRANSFER MT103-FORM.doc |
| Provide Quotation For The Listed Items | PO-8372929.xls |
| AW: New Order | PO#4522091201_20230208.cab |
| RE: (AGENT) MNCA2301125 // (AI-2301-003) EXWORK AIRFREIGHT – ICN TO CGK – C/ PT MAJU MANDIRI UTAMA S/ DOOYANG TECH – ETD. JAN 2023 | DRAFT HAWB and DRAFT MAWB.zip |
| AW: PO-000001306 | PO-000001306.IMG |
| RE: OUTSTANDING PI// SOA | PI.r17 |
| RE: RE: Updated SOA 210827//答复: Statement 210826 | TTRe01302023-pdf.gz |
| URGENT REQUEST FOR QUOTATION | URGENT REQUEST FOR QUOTATION ORDER SHEET.zip |
| Payment Details | TTRes2082023-pdf.gz |
| AW: New PO 20102062023 | New PO 20102062023..gz |
| New Order E298659 C_4091 PO_ | EVP I_287008 O_298659 C_4091 PO_PDF.IMG |
| RE: RFQ-KIEFEL Packaging GmbH (1 20′ FCL) AUSTRIA PORT | RE RFQ-KIEFEL Packaging GmbH (1 20′ FCL) AUSTRIA PORT.r00 |
| RE: RFQ-KIEFEL Packaging GmbH (1 20′ FCL) AUSTRIA PORT | RE RFQ-KIEFEL Packaging GmbH (1 20′ FCL) AUSTRIA PORT.exe |
| Updated SOA 210827//答复: Statement 210826 | Statement 210826.zip |
| Quote | QUOTE-pdf.gz |
| RE:STATEMENT OF ACCOUNT | S O A -[8363037ED].zip |
| DHL PACKAGE ARRIVAL /PICK UP 2/6/2023 10:16:55 a.m. | DHL PACKAGE DOCS.r00 |
| ATTENTION: ***@******.**** Error while receiving e-mail!! | TTRES2102023-pdf.gz |
| Re: Order | PO-2023.zip |
| Payment Details | TTres2082023-pdf.gz |
| TT COPY $12,106.00_20230209.pdf | TT COPY $12,106.00_20230209.gz |
| TRADE CORPORATION | TRADE QUOTATION FOR METALLCO TRONDHEIM.exe |
| FW:New order | New Order4563 .exe.PDF |
| PURCHASE ORDER INQUIRY PO_#33344 | PURCHASE ORDER INQUIRY DB PO_#33344.r00 |
| Quotation | PO: GII-19146-22-DG-RP | ORDER LIST AND DRAWINGS.pdf.gz |
| sexy photo very important | privatescene.scr |
| nice pics | privatephot.jpg.scr |
| Re: very cool photos | fuck__phot.jpg.pif |
| Re[4]: super wonderful pictures | wild_imgs.jpg.exe |
| Re[5]: very nice pics only for you | fuck__images.gif.exe |
| Re[3]: sexy pictures very important | wild_pctrs.gif.scr |
| sexy photo | myimgs.scr |
注意するキーワード: 「Shipment」
偽のページ (FakePage) C2 アドレス
偽のページのうち、攻撃者が作った偽のログインページにユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者 C2 アドレスである。
- hxxps[:]//kingrex[.]dreamhosters[.]com/krrs[.]php
- hxxps[:]//jeartattack[.]best/rsb/Line[.]php
- hxxps[:]//submit-form[.]com/WSJ2MHNC
- hxxps[:]//lifeushard[.]cyou/file[.]php
- hxxps[:]//formspree[.]io/f/xnqynwpb
- hxxps[:]//submit-form[.]com/wAuY8xBO
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計