ASEC では自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年2月12日から2月18日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、最も多いタイプはの偽のページ(FakePage, 39%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2> 参照 その次に多かったタイプは SmokeLoader、 GuLoaderのようなローダーを含んでいる ダウンローダー(Downloader, 28%)である。3番目に多かったタイプは情報窃取型マルウェア(Infostealer, 26%)であった。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。それ以外にもトロイの木馬(Trojan, 9%)、バックドア(Backdoor, 1%)、ワーム(Worm, 1%)、脆弱性(Exploit, 1%)タイプが確認された。 フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。 一週間確認されたフィッシングメールの添付ファイルの特徴としてはマルウェアを隠ぺいさせるために使用された様々な圧縮拡張子である。総11種類の圧縮拡張子を使用しており、その種類は ZIP、R00、RAR、R01、R17、GZ、DAA、XZ、Z、ACE、LZH である。その他、偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTML、HTM、SHTML)ドキュメントで配布されていた。情報の窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは ZIP、R00、RAR などの圧縮ファイル、IMG ディスクイメージファイル、DOCX、PDF ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されている。
配布事例
2023年2月12日から2月18日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| Scan Data from FX-1C7D2_16thFeb23 | Scan Data from FX-1C7D2_16thFeb23.PDF |
| 全ての受信メールが保留されました。 | ***.com.html |
| IMPORTANT ANNOUNCEMENT! | NOTICE OF CHANGES.pdf |
| FWD: Re: Wire Transfer Receipt | Wire Transfer Receipt.shtml |
| Comprobante Fiscal Digital Febrero :ATT 15/02/2023 07:43:03 a. m. | adjuntos_0102_.html |
ST0RAGE QU0TA LIMIT EXCEEDED; Retreive your (47) New Pending Messages  !!! On Hold |
entecene.co.kr_Verify.html |
| DHL Shipping Document/Invoice Receipt | Original_Shipping_DOC#AWB.html |
| RE: SHIPPING DOCUMENT (Purchased Contract) | FedExShipmentDoc.html |
| [大韓航空] 送り状の原本通関 | Original-invoice_dhlee.htm |
| Re: Proof of payment deposited for invoices | Invoice.pdf.htm |
| [FedEx] 関税納付のご案内(Tax Invoice) | Tax-Invoice.html |
| 新しい注文 | 新しい注文.pdf |
| Payment has been scheduled to beneficiary on 13 Feb 2023 | Swift_Copy-rina.htm |
| 新たなファイルの受信に成功しました。 | Documents Folder.html |
| DHL Shipment Notification AWB No:: 48******16 Custom Form E | Confirm Parcel AWB NO.48157-8578916.html |
| お問い合わせ | お問い合わせ.pdf |
| Re: Re: 見積の依頼? | 見積の依頼.pdf |
| Re: Re: Outstanding Invoices for processing | outstandingPayment.INV.Shtml |
| Msa INQUIRY 21019612 dated 10-02-2023 – Reminder | RFQV21019612.xls.shtml |
| INV+PYMNT+PO 546890 | INV+PYMENT+PO 9878 .HTML |
| [DHL Express] 収入関税情報提出のご案内 – AWB # – 394475043173 | DHL_Korea_AWB#394475043173.html |
| Invioce/New Order | PO.XJ210821Q.html |
| FedEx 収入税金納付締め切りのご案内 | FedEx-kskim.htm |
| AW: Fw: Payment Transfer Receipt #3142563 | Payment copy.shtml |
| INVOICE,PACKING LIST & BILL OF LADEN | INVOICE & PACKING LIST.html |
| : New Shipment | Confirm Shipment.htm |
| 全ての受信メールが保留されました。 | hyundairb.com.html |
| PURCHASE ORDER & INVOICE-8750 | DOC -47059(2_15_2023 4_09_16 a.m.) Mixed Container.html |
| FW: Inv_0220238_from_WSFS LLC | computer.PDF.shtml |
| Payment Advice for electronic wlre transfer – Ref: HSBC03481993/081639234 | Payment_adv.html |
| Re:Urgent payment order | Payment#adv.html |
| PCH-Ref-708U97SYY8 | Publishers Clearing House-2023.pdf |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| RE: RFQ – INQ-DOCCIA GRP | ORDER – DOCCIA #00071533.pdf(83KB).jar |
| Re Enquiry | UPDATED ORDER.docx |
| Request for Quotation | ENQUIRY.IMG |
| FW: Request for Quotation | ENQUIRY.IMG |
| #Inquiry : 201820552 | Inquiry201820552.js |
| RE: FW: RE: RE: Material productions/ Worksheet | MPSNTQWR90002023.IMG |
| FW: AUTHORIZATION LETTER | whatsapp20231302.gz |
| RE: Urgent – Payment Overdue SOA | SOA.gz |
| RFQ Order No 43456767 | RFQ_Order No 43456767.zip |
| RE:Purchase Order | Product_List.docx |
| DHL Shipment For Februray Notification : 45348693 | Original Shipping Documents.docx |
| Re Details | Payment.docx |
| YOUR EMPLOYMENT STATUS FOR REDUNDANT LEAVE | SALARY RECEIPT.rar |
| SPARE PARTS PROVISION | SPARE PARTS.docx |
| New Scanned document from Nedec Office Printer | Scan_Copy264293.docx |
| Norcity Order | Norcity Sales order.docx |
| RE: Payment. | Invoice copy.gz |
| PO-#2080M 2023 | Contract PO#2080.docx |
| RFQ:N20JLG| Invitation to quote for the supply | LORAN #N20JLG.docx |
| Zhangjiagang Ocean Favor_ Urgent Quotation | RFQ.IMG |
| Reservation For Room | Details for booking.docx |
| Quotation required | RHK0876789-6789098.z |
| RE: ORDER | Siemens Company Profile.img |
| DHL | _DCO_住所変更_Pdf.exe |
| New:SHEKOU // INV. 2230887 | Commercial Invoice No. 2230887.pdf.z |
| Payment Copy | payment slip.zip |
| Payment is completed | TT SLIP.zip |
| RE: NEW SHIPPING DRAFT COPY | DRAFT COPY.zip |
| PO #2302036 (kerisome) | Purchase Order 2302036.r01 |
| #ERROR! | Zaplata00022023.jpg.img |
| SHIPPING DOC (CI,COO,PL,BL) | SHIPPING DOCUMENT.zip |
| PO2310 | PO2310.r00 |
| Payment Information | TTres2142023-pdf.gz |
| Re: Payment INV088002904SINO | Swift Copy.rar |
| Re: Re: Re: Re: Re: Re: New order | new order list.0435527.PDF.zip |
| RE: NEW FIRM AIR DAP RATE INQUIRY FOR CNEE | DOCUMENT.zip |
| P.O | ORDER CONFIRMATION.r00 |
| Quote=AHB23QA | Quote=AHB23QA.pdf.z |
| APA Contract :RFQ 2023 | APA RFQ 2023.pdf.z |
| RE: RE: SOA_freight options202105-USD122986 | 202105-USD122986.zip |
| funds for all inv. settled | SKM20230216_$55580.88USD.ace |
| RE: CL/140/2023//: Customs Clearance BL_CI #SHIPPING – ATTENTION | BL_CL-2838374_3494432_Docx.XZ |
| Ref. IGA/PO/17493 | Ref. IGAPO17493.r00 |
| MV INLACO ACCORD / ETA: 20TH FEB ++ AGENT NOMINATION | DISCHG.IMG |
| Offer inquiry | 2023tenderlistforlunious.zip |
| AQMM General Trading LLC. LOI | AQMM General Trading LLC LOI PDF1000.r00 |
| Purchase Order | Catllog_00345_Pdf.exe |
| MONEY REQUIRE | TTres2152023-pdf.gz |
| Delivery Notifications | _Fillin_003456…._Pdf.gz |
| Draft Copy Cont02983 | Draft_Copy_Cont02983.rar |
| Re: New Order Quotation – 0070086 – 23/16/02 | Order Specifications.zip |
| PO#BO514 FEB/ 2023 | PO #BO514.z |
| Purchase Order//98462072 | Pur02958735_84ord.rar |
| Status of Payment Receipt | 13022023MT103.zip |
| Confirmation & Draft Documents | DRAFT INVOICE.GZ |
| Petek Debit Note LW-83322. | DEBIT NOTE.LZH |
| LEGAL ACTION / LONG OVERDUE INVOICE | DETAILS AND INVOICES.daa |
| RE: DDP AIR IMPORT FROM LHR-AMD | A.GBIN.23.00105.zip |
| Re[3]: very nice images private | fuck_action.pif |
| BBVA-Confirming Facturas Pagadas al Vencimiento | ConfirmingPagadas.rar |
| RE: PO: 879204/1 FCR Draft 1 EFCR YAX1905070 | E-FCR Docs_pdf.gz |
| PROCESSIING CONTRCT SY2-WT2103-23. | PS#049847646-4094876478MBN.001 |
| Interesting.. | MyHeart4u.eXe |
| RE: RE: Updated SOA 210827//: Statement 210826 | STATEMETNT OF ACCOUNT.rar |
| Cool Stuff!! | Happy_XMas.eXe |
| AW: PO-000001306 | PO-000001306.IMG |
| MONEY REQUIRE | Purchase Order-pdf.gz |
| Re: Draft Docs Confirmation against PI#CK2023M1903 | DRAFT DOCS INVCK2023M1903 BL PL.xls |
| Re: SOA Detail Payment for shipment invoices from Nov 11th – Jan 12 | STATEMENT OF ACCOUNT CERIE 10134 Payment Advise.xls |
| By E-Mail send: Delotser Transport Operator – 0085437719 | 0085437719.IMG |
| RFQ-20000 TO 500000 MT/BARELLS TEST by SGS | RFQ-20000 TO 500000 MTBARELLS TEST by SGSPDF.r00 |
| FW: Technical Clarification No: 1 | TC 1 AHTSA 1093 1094 RO.xlsm |
| VSL: M/V COMMON CALYPSO, ORDER: JAN-A2623B | MV COMMON CALYPSO.xls |
| Re:invoice and PL 26/01/2023 | invoice and PL 26012023.zip |
| Prompt Response | DoubleClick to DOWNLOAD.one |
| ETSO Kodu hk. | ETSO_ Kodunuz40Z000004399566L..exe.xz |
| Re: [Reject]RV: OFERTA PO# 000938882 NSS | ApplicationReject_68390(Jan31).one |
| PR.4828321- Request for Quotation | ATI HANDELS GmbH | RFQ #4828321.doc |
| Hi! | HeartsOnFire.eXe |
| Payments | 2023013150028399456770010.gz |
| RE: Capital Tenders Group LTD PRICE REQUEST | Capital Tenders Group LTD PRICE REQUEST DOC.r11 |
| Nueva lista de pedidos y productos solicitados | #Nueva lista de pedidos y productos solicitados.pdf.img |
| FOB Shenzhen price for its MOQ | FOB Shenzhen price for its MOQ.r02 |
| FW: Invoice & Signed Contract -NEW ORDER-038408 | Invoice & Signed Contract 20230201.gz |
| FW: PO7574 | New Order PO039445.Pdf.exe |
| MONEY REQUIRE | ttref01312023-pdf.gz |
| ENEL ITALIA SpA_RFQ12345HG7$$ | RFQ12345HG7Solar&Wind Procurement.r00 |
| Paid Invoice | invoice.pdf.z |
注意するキーワード: 「配送通知」
今週のキーワードは「配送通知」である。先週のフィッシングメールの配布者は「DHL 配送通知」の件名でメールを拡散していた。フィッシングメールの送信者は大韓航空のメールアドレスを詐称しており、誤字や分かち書きなどを見ると、翻訳機を使用して韓国語に変換したように見えることが特徴である。メールの内部には「_領収書_Pdf.gz」ファイルが添付されており、解凍するとランダムな文字で構成された件名の EXE ファイルが含まれている。この EXE ファイルは情報窃取を目的としたマルウェアである。ユーザーは、メールの添付ファイルを閲覧する際には、怪しい拡張子の有無と不自然に翻訳されたような韓国語であるかを注視する必要がある。
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- hxxp[:]//technicallyjules[.]com/11/22/1/add[.]php
- hxxp[:]//www[.]nrwolff[.]com[.]br/wp-admin/maint/bv/mxl[.]php
- hxxp[:]//powertek[.]com[.]au[:]/mmmm/newppdfff[.]php
- hxxp[:]//effervescible-safeg[.]000webhostapp[.]com//ace//ald[.]php
- hxxp[:]//feurofood[.]com/wp-content/plugins/TOPXOH/index/index/1/add[.]php
- hxxp[:]//formspree[.]io/f/xyyaekej
- hxxp[:]//www[.]mannnheim[.]com/ek/fdpxoGur23f[.]php
- hxxp[:]//kingrex[.]dreamhosters[.]com/krrs[.]php
- hxxp[:]//chuwi[.]co[.]th/danzpihaypy/dhlpihaypy[.]php
- hxxp[:]//qhuxon[.]gq/kiljoo/ond[.]php
- hxxp[:]//submit-form[.]com/3pUBM45T
- hxxp[:]//lucent-fittings[.]000webhostapp[.]com/action[.]php
- hxxp[:]//groaning-sweepers[.]000webhostapp[.]com/PDF[.]php
- hxxp[:]//riaxion[.]tech/www[.]Mail[.]ru_Verification/mail[.]php
- hxxp[:]//himoil[.]com/var/gb[.]php
- hxxp[:]//outdoorbuddies[.]org/xxx/newpdf1[.]php
- hxxp[:]//yadavarionline[.]ir/wp-includes/otf/newppdfff[.]php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 総計