AhnLab Security Emergency response Center(ASEC) では自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年02月26日から03月04日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、最も多いタイプは SmokeLoader、GuLoader のような Loader を含むダウンローダー(Downloader, 37%)であった。その次に多かったタイプは偽のページ(FakePage, 25%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照3番目に多かったタイプはトロイの木馬(Trojan, 19%)があり、それ以外に AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 16%)、脆弱性(Exploit, 1%)、ワーム(Worm, 1%)タイプなどが確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。 一週間確認されたフィッシングメールの添付ファイルの特徴としてはマルウェアを隠ぺいさせるために使用された様々な圧縮拡張子である。合計11種類の圧縮拡張子を使用しており、そのタイプは ARJ、GZ、R00、R01、R09、R19、RAR、Z、ZIP の9個であった。その他、偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTML、HTM、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは、ZIP、R00、RAR などの圧縮ファイル、IMG ディスクイメージファイル、PDF ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されている。

配布事例
2023年02月26日から03月04日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
メールの件名 | 添付ファイル |
FedEx 発送品到着通知 | AWB#989345874598.html |
New DHL Shipment Document Arrival Notice / Shipping Documents / Original BL, Invoice & Packing List | (DHL) Original BL, PL, CI Copies.htm |
FedEx #003791-748294 発送到着通知 | Invoice.AWB#84248_pdf.htm |
Purchase order PO5118000306 | PO5118000306.htm |
Request_for_Quotation | Request_For_Quotation_12943928484_Supply.htm |
CONTRATO NOTASNFE 202522950 Vencimiento. 24/02/2023 (692129) | ComprobanteFiscal_508425.html |
BD 51 & SISAMO X STS OPERATION – SHINAS ANCHORAGE SHIPMENT | BD 51 SISAMO X STS OPERATION – SHINAS ANCHORAGE SHIPMENT.htm |
Gallop Shipping Co. LLC – Invoice | TransactionDetails_03-03-2023.htm |
Quotation for March Order | Quotation sample.xlsx.shtml |
New Order | Quote sheet.html |
Payment Reference 1678/3000765567 Vendor – countec-*****@*******.com | __EFT_353877883.htm |
inquiry | RFQ FROM BIOIMMUN MED. LAB. DIAG. LLC.pdf |
[FedEx] 関税納付案内(Tax notification) | Tax-Notification.html |
ACH Payment sent On: Wednesday, March 1, 2023 11:22 a.m. | Paymentreceipt.shtml |
CONTRATO NOTASNFE 202522950 Vencimiento. 24/02/2023 (161012) | ComprobanteFiscal_508425.html |
Payments Invoice Order//TRN #100038927800003 | Payment copy.html |
[FedEx] 収入税金納付締め切りのご案内 – (INV and AWB) | OrderFedExShipment.html |
見積依頼_**テック_20230223 | [G0170-PF3F-23-0223].html |
全ての受信メールが保留されました。 | h**nd**rb.com.html |
事例: マルウェア(Infostealer、Downloader など)
メールの件名 | 添付ファイル |
見積依頼書 / ******* (**181***001) | **181***001.zip |
LEGAL ACTION ON YOUR COMPANY FOR LONG OVERDUE INVOICE | Overdue Invoices.zip |
RE: Qoutation Required | folder request details.rar |
DHL Shipment /AWB9697364509HJ /DELAY NOTICE/ | AWB9697364509HJ.zip |
RE: FW: RE: RE: Worksheet | WSNLBQSCPK2023.IMG |
RFQ#83785ABP | RFQ#83785ABP_REQUEST_F0R_QUOTATION_GREEN_SPEED_IMPORT_SERVICEs.arj |
RFQ MEC/MTL/210885 | RFQ_MEC_MTL_210885SEAH POSO.zip |
RE: [EXTERNAL] Re: New order | New order list is attached.zip |
LEGAL ACTION / LONG OVERDUE INVOICE | DETAILS AND INVOICES 1.IMG |
NEW JOURNEY – PRICE INQUIRY | INQUIRY.IMG |
Your DHL Parcel Just Arrived | INVBL.IMG |
Order 428278 vom 0203.2023–ZA860 | 02.03.2023–ZA860 Order 428278 vom.ARJ |
FWD: 30% down payment. | Scan_PI1.img |
RFQ3015180 | RHGP0987654456-098.Z |
ORDER Placement: PO 012911048 | PO 012911048.gz |
RE: PO//Stock Pipe: RFQ 020323(MECH)NBI/Mar 02-23 | Purchase Inquiry_pdf.rar |
FW: New Order no. 5959 | Nuevo pedido 7887979-800898.gz |
Nova Ordem | NOVA ORDEM.ISO |
Purchase order PO2302-0015 | PO1901-0014.arj |
RE: Impex PO order 2023-1 | PO_03012023.docx |
Acrylic Land LLC – Company Profile | ACRYLIC PROFILE INTRO.r00 |
beautiful photos | myact.jpg.scr |
COST WORKING : UPP | G2 | RFQ – Part Cost & FTG | 0304DP200560N | RFQ KIIT.r01 |
DHL Shipment Notification : 4319464144 | DHL Shipment Notification 4319464144.zip |
Fw: PAYMENT PROOF | 02.27.2023_MT103_TRF0123654378_Swift.zip |
Fwd: New PO | Purchase Order 6569401_D3356731 buy 1118_02.27.23.zip |
New enquiry | 171MES_S Quote.r19 |
nice picture private | myphotos.exe |
order | Quotation UBG361Q.r19 |
PAYMENT – 5907275 | SWIFT 5907275.rar |
Payment Copy | payment copy.rar |
Payment copy | TTRES322023re-pdf.gz |
PO-000001306 | PO-000001306.gz |
PURCHASE ORDER | PO.r00 |
PURCHASE ORDER 11Z5374DV4 | 11Z6O3HRF.r00 |
RE: Outstanding balance | SOA.xls |
RE: Purchase Order P1157343 | Product for Purchase pdf.gz |
RE: Receipt Of Payment | Payment SwiftMT103 pdf.gz |
Request for Quotation – RFQ | RFQ 28022023_02.img |
Solicitud de estados de Pedido | Orden de compra.r09 |
URGENT TREAT | TTRES322023-pdf.gz |
Withdrawal Notification | WITHDRAWAL NOTIFICATION-pdf.gz |
注意するキーワード: 「関税&税金」
- 攻撃者サーバー : hxxps://yjaton[.]cf/.well-known/pki-validation/cabal/mxl.php
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- https[:]//www[.]dom[.]lk/fdx[.]php
- https[:]//submit-form[.]com/UJq6c9ul
- http[:]//martinamilligan[.]co[.]business/ono/fdx[.]php
- https[:]//submit-form[.]com/DwE6qixd
- https[:]//www[.]dmuchanceinamioty[.]pl/pdf[.]php
- https[:]//www[.]boxnotrading[.]com/fedex-e/fdpxoGur23f[.]php
- https[:]//formspree[.]io/f/meqwkoeg
- https[:]//yjaton[.]cf/[.]well-known/pki-validation/cabal/mxl[.]php
- https[:]//formspree[.]io/f/xyyaekej
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計