AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年03月05日から03月11日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 84%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 その次に多かったタイプはトロイの木馬(Trojan, 7%)と AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 5%)が続いている。Trojan は .NET パッカーのタイプが最も多く、これは過去に「最新 .NET パッカーの種類および韓国国内の拡散動向」で Type 3「VariantCrypter」として紹介したタイプである。これ以外に、ワーム(Worm, 2%)、脆弱性(Exploit, 2%)、ダウンローダー(Downloader, 1%)タイプが確認された。 フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTML、HTM、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは、ZIP、R09、RAR などの圧縮ファイル、IMG ディスクイメージファイル、PDF ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されていた。
配布事例
2023年03月05日から03月11日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ (FakePage)
| メールの件名 | 添付ファイル |
| DHL | Global | express | Transport_Doc_198290018.html |
| Re: PO 1015_INV (送り状要請) | 送り状要請PO 1015_INV.htm |
| New DHL Shipment Document Arrival Notice / Shipping Documents / Original BL, Invoice & Packing List | (DHL) Original BL, PL, CI Copies.shtml |
| Request_for_Quotation_1294 | Request_For_Quotation_12943928484_Supply.htm |
| FedEx Service Alerts | FedEx_**lee-Original_Document.htm |
| 見積依頼 | PO 230310-21A.htm |
| Re: PO 10960 | PO10960 .htm |
| Payment sent On: Wednesday, March 8, 2023 4:17 a.m. | Payment copy.pdf.html |
| New DHL Shipment Document Notice of Arrival / Shipping Documents / Original BL, Invoice & Packing List | (DHL) Original BL, PL, CI Copies.htm |
| Fw: PO 107556 (送り状要請) | PO 107556購入注文 .htm |
| You have received an essential encrypted company email – Remote ID | SecureMessageAtt.zip |
| URGENT !!! | Upgrade.html |
| 新たな秩序/PO # PUR120449-1 | 注文_Inv PO # PUR120449-10.htm |
| Newly posted invoice , PL and BL | Invoice.AWB#84248_pdf.htm |
| countec-sales2 You Have a delievery | copy.AWB #0675854897.htm |
| FW:Payment Confirmation for Open Invoices INV-019358 sent via one-drive | Paid_invoice.html |
| Alerta ScotiaWeb: Comprobante Transaccion exitosa en Scotiabank ANGEL REYES MACARIO (868579) | Comprobante-2023-02-28T151137.308.pdf |
| New Contract N0_938 : PURCHASE ORDER ATTACHED | POrder2023.pdf |
| INQUIRY QT-0023817552 | QT_0023817552.html |
 [DHL] 収入税金納付締め切りのご案内 – (INV and AWB) |
DHLParcelShipment.html |
| Quotation QUO91019 | Quote.html |
| DHL TRACKING NUMBER // ORIGINAL SCAN DOCUMENTS // VERIFY BL COPY FOR CHECKING // SHIPMENT ADVISE AGAINST OUR CONTRACT NO- WGCBD-141-21/22 (02X40″ 28LBS/1PLY) | Electronic Form.shtm |
| PO 197496 ( Invoice Request ) | PO_INV 197496 .htm |
| Payment Advice – Advice Ref:[922853603] | payment.html |
| Payment Swift and Invoice | Payment swift and invoice_ copy.shtml |
| OUR COMPANY NEW QUOTATION CONFIRMATION RECEIPT | Remmitance Payment.html |
| New_fax_received_for_wong truefriend | Fax #2046.htm.htm |
| Re: URGENT / Request for Quotation | order specification.shtml |
| FedEx Service Alert. | FedEx_Original_Document.htm |
| DHL Shipping Notification: Please kindly see shipping invoices for payment with delivery | Packing List.htm |
| Re: NEW PO – NH1200/1500 | scanPO.htm |
| PO 10120H5 (送り状要請) | PO 10120H5購入注文 .htm |
| RE: PFI PO 4899 | scan001.htm |
| Re: PO 1015 (送り状要請) | 購入注文PO 1015.htm |
| PO#M013123-LTR1 | PO#M013123-LTR1.xls.htm |
| CONFIRMATION RECEIPT | Payment. Copy.html |
| Invoice – INV-00546 | INV-00546.shtml |
| You have received a direct deposit alert! | 83739832283382923893HHDJHSD83387HDSSDSH.xhtml |
| Your parcel has arrived urgent pick up needed today. | parceldelivery.html |
| Your parcel has arrived urgent pick up needed today. | AWB #8347630147.htm |
| Request for Quotation of : Ammunition Vehicle and Howitzer with Standard Tools and Accessories | Ammunition Vehicle and Howitzer.html |
| New Order POH12-FA2306133 | PO H12-FA2306133.html |
| 見積依頼_**テック_20230223 | [G0170-PF3F-23-0223].html |
| Fwd: Fw: Fw: inquiry | New—inquiry.html |
| Request for quotation | New Order.html |
| Payment Confirmation. | USD 63,530.50.pdf |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| Re: Re: RE: anniversary | KYC_HN70(Feb15).one |
| Re[4]: sexy pics | greatimg.gif.scr |
| RE: New Order OZM PO#10391, PO#10392-6 | New Order OZM PO#10391, PO#10392-6.rar |
| RFQ – Automotive Industry – 5 special drawing Item – SOP: 2023-2030 – | RFQ – Automotive Industry.arj |
| Statement 000116057 TORKY SUPPLIES OFFICE | Statement 000116057 TORKY SUPPLIES OFFICE pdf.zip |
| Request | PV285.img |
| cool photo imortant | privatephotos.scr |
| saipan star/CTM USD50000 | USD50000.docx |
| Wire transfer receiot | Receipt.doc |
| RE : PO FOR NEW ORDER ##2029 AND #5811 | order_2023.pdf.GZ |
| Re[5]: super smart photo very important | wild__images.pif |
| RFQ _Draft 08/03/032023 | mSDPG5zv9nN0nP9.zip |
| ST51093Y1 | ST51093Y10.ISO |
| Re: Inquiry | Quote_3500001233.img |
| AW: PO-000001306 | PO-000001306.r09 |
| New Order | NEW PO-4500123380_03062023.zip |
| PO NO.PO03238012, | PO NO.PO03238012,.rar |
| Order-Dated 03-01-2023 | Enquiry2314.xls |
| DHL Notification | DHL Notification_pdf.rar |
| 50% Remittance Advise | Remittance_Advise.xls |
| Re: RFQ # GC-20230203 | RFQ # GC-20230203L.r09 |
| Revised Ghani Value Glass new order – SG Industries 100/24150### | PI WIith Size is 6×5.xls |
| Fwd: Payment Release (GBS LOGISTICS) | UPDATED SOA [REF CF005451] 2223.xls |
| RE: Reminder For Due Payment | Payment Advice 232-52126620A.xls |
| Quotation is Requested | petronas 1.rar |
| LEGAL ACTION ON YOUR COMPANY FOR LONG OVERDUE INVOICE | Overdue.img |
| Informe de pago | pago de la ..factura 11-369013.PDF.img |
| Ref:103XXXXX Shipment of Original Documents. | DHL SHIPMENT NOTIFICATION.r09 |
| super wonderful photos just for you | sex_action.jpg.scr |
| Your DHL Parcel Has Arrived | DHL.zip |
| YOUR EMPLOYMENT STATUS | SALARY RECEIPT.img |
| QUOTATION | 6857b4c0-c3c7-11ed-961c-44a842253043.zip |
| Re: | HT1257299241547541310_202303081211.zip |
| MIME-Version: 1.0 | 266384963218743472978941034.zip |
| Supply of 3DC Project Marterials | 3DC Project Marterials.rar |
| Re[4]: super beautiful photo | bestscene.exe |
| FW: documentos solicitados | Documentos66548864.pdf.img |
| Eccentric Plug valve Technical DataSheet | Technical DataSheet.pdf.iso |
| RE: NUEVA ORDEN DE COMPRA 004799 | ORDEN 004799 ROQUE.IMG |
| beautiful picture | thepctrs.exe |
| smart pictures | thephotos.gif.scr |
注意するキーワード: 「PO(Purchase Order)」
- 攻撃者サーバー : hxxps[:]//experiaevents[.]in/italianpay/next.php
上記のサーバーを使用するフィッシングメールは、様々なユーザーに配布されたと見られ、3月8日から3月17日までにこのサーバーに接続した履歴が200件以上であることが確認された。これについて、ユーザー情報の窃取有無は不明だが、メールを受信した多くのユーザーがこの添付ファイルを開いたものと推定される。
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- hxxps[:]//experiaevents[.]in/italianpay/next.php
- hxxps[:]//formspree[.]io/f/xdovzjlo
- hxxps[:]//submit-form[.]com/OIIpXOTl
- hxxps[:]//daca[.]hostedwebsitesystem[.]com/vendor/phpunit/phpunit/src/Util/Log/index/index/spam/FedExpress[.]php
- hxxps[:]//formspree[.]io/f/mjvdynwp
- hxxps[:]//formspree[.]io/f/xwkjbjgo
- hxxps[:]//formspree[.]io/f/myyakjqr
- hxxp[:]//martinamilligan[.]co[.]business/ono/fdx[.]php
- hxxps[:]//clinicacarlosgomes[.]med[.]br/wp-admin/kal/fte
- hxxps[:]//formspree[.]io/f/mzbqgqyp
- hxxps[:]//mallarg[.]tk/lp/fte[.]php
- hxxps[:]//seafordrotary[.]org[.]au/Eppdff[.]php
- hxxps[:]//k2-server[.]duckdns[.]org/roundbuk/pdf[.]php
- hxxps[:]//cupertinochiropracticcenter[.]com/index/FedExpress[.]php
- hxxps[:]//zenkoren[.]itigo[.]jp//cgi-bin/123/cloudlog[.]php
- hxxps[:]//huntingfieldlodge[.]com[.]au/Aa/Excel22[.]php
- hxxps[:]//formspree[.]io/f/mnqyznyy
- hxxps[:]//mgffomento[.]com[.]br/wp-admin/dd/postdhll[.]php
- hxxps[:]//holisticfacades[.]com[.]ng/wp-includes/aa/feed[.]php
- hxxps[:]//dissertational-spee[.]000webhostapp[.]com/wp-admin/purchase/pdf[.]php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 総計