ASEC では自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年02月19日から2月25日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、最も多いタイプはの偽のページ(FakePage, 68%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下の<偽のログインページ C2>を参照 その次に多かったタイプは情報窃取マルウェア(Infostealer, 26%)である。情報窃取マルウェアは AgentTesla、FormBook などが含まれており、Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させる。3番目に多かったタイプは SmokeLoader、GuLoader ののようような loader が含まれたダウンローダー(Downloader, 9%)マルウェアであった。それ以外にもトロイの木馬(Trojan, 9%)、脆弱性(Exploit, 2%)、ワーム(Worm, 1%)タイプなどが確認された。 フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。 一週間確認されたフィッシングメールの添付ファイルの特徴としてはマルウェアを隠ぺいさせるために使用された様々な圧縮拡張子である。総11種類の圧縮拡張子を使用しており、その種類は ZIP、R00、RAR、R01、R17、GZ、DAA、XZ、Z、ACE、LZH である。その他、偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTML、HTM、SHTML)ドキュメントで配布されていた。情報の窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは ZIP、R00、RAR などの圧縮ファイル、IMG ディスクイメージファイル、DOCX、PDF ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されている。
配布事例
2023年02月19日から2月25日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| Scan Data from FX-1C7D2_16thFeb23 | Scan Data from FX-1C7D2_16thFeb23.PDF |
| Advice on attach payment copy | HSBC WIRE PAYMENT.shtml |
| Fwd: Paid Outstanding Invoice | Paid Oustandingt.shtml |
| Original invoice customs clearance notification. | Original-invoice_jgj.htm |
| TNT – AWB 04592648 | 04592648.shtml |
| Original invoice customs clearance notice!!! | Original-invoice & PList_khkim1.htm |
| [FedEx] 収入税金納付締め切りのご案内 – (INV and AWB) | FedExDocument.html |
| Payment receipt On: Thursday, February 23, 2023 4:48 a.m. | Payment copy.pdf.html |
| [FedEx] 到着通知-原本配送文書 | Shipping_Invoice.xls.htm |
| Order – PO2211000091 | Order – PO2211000091.htm |
| Original invoice customs clearance notification | Original-invoice & PList_bonhogu.htm |
| P23-0164 | Purchase Order P23-0164.html |
| 1 LETTER | DOC#5732.htm |
| INV+PYMNT+PO 546890 | INV+PYMENT+PO 9878 .HTML |
| BD 51 & SISAMO X STS OPERATION – SHINAS ANCHORAGE SHIPMENT | BD 51 SISAMO X STS OPERATION – SHINAS ANCHORAGE SHIPMENT.htm |
| 見積依頼_ア**テック | [G0170-PF3F-23-0223].html |
| Original Shipping Cargo – Proforma_Invoice/BL/Packing List | INV-2372-Shipping_documents-CERT-_BL_23072_PL-pdf.htm |
| Re:FedEx Logistic | scan_document.html |
| Scan Data from FX-1C7D2_170223 | Scan Data from FX-1C7D2_172022.PDF |
| *DHL* e-Secure – Request of Your Correct Shipping Info For Your Pending Parcel*** | Consignment.htm |
| รายการ RFQ และตัวอย่าง | RFQ-2023.shtml |
| Hrt–0926381 Estimate | Hrt–0926381 Estimate-PDF.shtml |
| Lembrete de vencimento! – Pedido: 35306 | Truefriend Remittance.htm |
| Remittance_details_processed_today_23_February_2023 | ScannedDoc3374002.html |
| SWIFT Payment has been scheduled to beneficiary on 06 FEB 2023 | invoice sheet.html |
| FW: Payment | Sharepoint_Pending_Doc.htm |
| FW: INV-6830 | INV-6830.htm. |
| 新しい注文 | 新しい注文.pdf |
| Sports equipments inquiry# 82100694 | MAIL-20230216256_82100694.pdf |
| FW: SHIPMENT ADVISE – ORIGINAL SCAN DOCUMENTS? | (DHL)Original BL,PL,CI_AWB#202207.pdf.htm |
| DHL Shipping Document/Invoice Receipt | Original_Shipping_DOC#AWB.html |
| DHL Shipment Notification | DHL–Express.html |
| 全ての受信メールが保留されました。 | h******b.com.html |
| AWB – DISPATCH DOCUMENT | DOCUMENTOS INV AWB#.html |
| Mailbox Quota Exceeded Thursday, February 23, 2023 5:5 a.m. | Mailbox Storage Guide .html |
| インボイス決済手続き済:3015387043? | Order.html |
| ユ***テック-発注書送付の件 | PO-20023-****TECH.PDF.html |
| Hrt–0627286 Estimate | Hrt–0627286 Estimate.shtml |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| Re[2]: very smart picture imortant | priv_photos.gif.exe |
| Purchase order | PO.zip |
| こんにちは。韓国国際**学会特別学術会1セッションの司会を担当しておりますチョ*フン研究委員です。 | [添付] 略歴様式.doc |
| PO_6734_00 | P.O_6734_00_Alumex.zip |
| Shipping Documents | BL Draft and Shipping Documents.zip |
| New Quotations Request! | New Quotations Request.zip |
| LEGAL ACTION / LONG OVERDUE INVOICE | DETAILS AND INVOICES 1.IMG |
| NEW PO-5420918701_2023 | NEW PO-5420918701_2023.gz |
| LISTED MATERIALS NEEDED | MATERIALS NEEDED.7z |
| JANUARY STATEMENT OF ACCOUNT | swift copy $68,000.00.zip |
| RE:FedEx Notification of Arrival – AWB# 102235516763 | FedEx Express_ AWB# 102235516763.rar |
| Purchase Order for CNA 98%. | PO 144 AAA.gz |
| INTRODUCTION AND CATALOGUE OF TECHNOMED INDIA// | 2023 KOINAMED CATALOGUE.pdf.z |
| Re: Re: Re: Re: New order | Order specification.exe |
| Proof of transfer | dokazouplati.rar |
| RE: DDP AIR IMPORT FROM LHR-AMD | H-GB3001051.zip |
| Re:new order | Order-PO8962301457841.zip |
| Re: Re: Over due payment for optical@*******solution.co.kr | Agreement,Invoice&SwiftCopy.zip |
| Payment | Bank Payment & ORDER CONFIRMATION.img |
| төлем шот-фактурасы | SH098765435678-0987.PDF.zIP |
| DAMAGE GOODS/SETTLEMNET | DAMAGE GOODS.rar |
| ## New Order | ## New Oreder_Pdf.gz |
| Payment Advice – Advice Ref:[76822853603] | Payment Advice.xls |
| Urgent offer – Include freight price to – (Northern Orange county, Califonia) | 29744012.IMG |
| Payment information | US$16,082.10 Swift.docx |
| Lanieta Tuilakepa From Baklay Groups | Quotation & Sample designs.docx |
| Re: Re: invoice payment application | Re invoice payment2242023-pdf.gz |
| In arrears for 02-21-2023 # 7152607539 | PO#47360.url |
| AW: PO-000001306 | PO-000001306.IMG |
| Allaire Project -RFQ-FA2232023 | Allaire Project -RFQ-FA2232023.rar |
| funds for all inv. settled | SKM20230216_$55580.88USD.ace |
| Request for Quotation | ENQUIRY.IMG |
| RE: TDK ORDERS 05.02.2023 (IMPORT) | TDK AEGPO-000664-22-23.rar |
| RE: CL/140/2023//: Customs Clearance ///// BL_CI #SHIPPING – ATTENTION | BL_CL-2838374_3494432_Docx.XZ |
| TR: DEMANDE DE SWIFTS (SWIFT REQUEST) | DEMANDE DE SWIFTS (SWIFT REQUEST).rar |
| MV INLACO ACCORD / ETA: 20TH FEB ++ AGENT NOMINATION | DISCHG.IMG |
| Re:Reservation for Honeymoon | Reservas Details.docx |
| Fwd: New Order – Feb 2023 | Inquiry.zip |
| Re Details | Payment.docx |
| PO NO 0023 | PO NO 0023.zip |
| QUOTATION REQUEST – 22 / 02 / 2023 – 0025 | 5523-7767.doc |
| Send us your quotation ASAP | KOC2201123.rar |
| RE:FedEx Notification of Arrival – AWB# 102235516763; Need PIB documentations | FedEx Express_1022355160763.rar |
| 21.02.2023 sevkiyat | sevkiyat.001 |
| 23190 CARI HESAP MUTABAKAT | HESAP.GZ |
| Fatura | FATURA.LZH |
| NS-chevron Malaysia – quotation request | Details specicafitions.rar |
| Caixa Confirming facturas | 1082300000832.rar |
| Invoice awaiting payment for 02-21-2023 # 1592189930 | PO#38341.url |
| Re: Payment for Ps64756DS45 | Payment_Ps64756DS45.rar |
| Your DHL Parcel Just Arrived | INVBL.IMG |
| Re: Re: Fwd: RE: グループウェア PC メッセンジャーインストールファイルの伝達およびプネーインターネット速度測定の件 | KYC_AJ35(Feb15).one |
| URGENT TREAT | urgent2212023-pdf.gz |
| PAYMENT SLIP /BREAK UP | $40778.doc |
| very cool picture PRIVATE | the-pic.jpg.exe |
| DHL Waybill – 4274103106 | AME2669480075.html |
| NEW JOURNEY – PRICE INQUIRY | INQUIRY.IMG |
| Fwd: PO | interflux 230101.docx |
| ORDER INVOICE | ORDER INVOICE.zip |
| Approved Purchase Order | Purchase Order,xlsx.zip |
| Eccentric Plug valve Technical DataSheet | Technical DataSheet.iso |
| REVISED -Order 5879024-00/PO 4677/PO 4678 | PO feb.docx |
| RE: PO/ POLYESTER PROGRAM WITH CROSS WEAR for SPORTY , SPRINT and STORM | PI 1010225.xls |
注意するキーワード: 「見積&発注書」
- hxxps[:]//winchestar[.]cc/dL0by9k/feedback[.]php
したがって、このようなメールを受信した際は、メールとともに直ちに AhnLab に通報し、ユーザーアカウントが流出しないように注意しなければならない。
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- hxxps[:]//magicrides[.]bestwebmarketingtoolbox[.]com/142[.]11[.]192[.]179/sa/refpdf[.]php
- hxxps[:]//www[.]calvellirappresentanze[.]com/wp-content/plugins/TOPXOH/index/index/1/add[.]php
- hxxps[:]//www[.]nrwolff[.]com[.]br/wp-admin/maint/bv/mxl[.]php
- hxxps[:]//formspree[.]io/f/mgebkwwj
- hxxp[:]//highsb[.]com/X/access1[.]php
- hxxps[:]//www[.]calvellirappresentanze[.]com/wp-content/plugins/TOPXOH/new/add[.]php
- hxxps[:]//formspree[.]io/f/xqkoqbve
- hxxps[:]//tinyurl[.]com/5d6wz2zy
- hxxp[:]//freshly-food[.]com/wp-admin/dist/3d[.]php
- hxxps[:]//formspree[.]io/f/xeqweljp
- hxxps[:]//accommodationlosangeles[.]com/pdf/add[.]php
- hxxps[:]//cambiamarcia[.]net/wp-includes/pdf[.]php
- hxxp[:]//highsb[.]com/A@Z/cloudlog[.]php
- hxxps[:]//feurofood[.]com/wp-content/plugins/TOPXOH/index/index/1/add[.]php
- hxxps[:]//yjaton[.]cf/[.]well-known/pki-validation/mil/mxl[.]php
- hxxps[:]//updalced[.]website/wp-confort[.]php
- hxxps[:]//arvantina[.]shop//zeee/add[.]php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 総計