Posted By ,

ASEC 週間フィッシングメールの脅威トレンド (20230305 ~ 20230311)

AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年03月05日から03月11日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。

フィッシングメールの脅威タイプ

一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 84%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 その次に多かったタイプはトロイの木馬(Trojan, 7%)と AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 5%)が続いている。Trojan は .NET パッカーのタイプが最も多く、これは過去に「最新 .NET パッカーの種類および韓国国内の拡散動向」で Type 3「VariantCrypter」として紹介したタイプである。これ以外に、ワーム(Worm, 2%)、脆弱性(Exploit, 2%)、ダウンローダー(Downloader, 1%)タイプが確認された。  フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。

添付ファイルの拡張子

上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTML、HTM、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは、ZIP、R09、RAR などの圧縮ファイル、IMG ディスクイメージファイル、PDF ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されていた。

配布事例

2023年03月05日から03月11日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。

 

事例: 偽のログインページ (FakePage)

メールの件名 添付ファイル
DHL | Global | express Transport_Doc_198290018.html
Re: PO 1015_INV (送り状要請) 送り状要請PO 1015_INV.htm
New DHL Shipment Document Arrival Notice / Shipping Documents / Original BL, Invoice & Packing List (DHL) Original BL, PL, CI Copies.shtml
Request_for_Quotation_1294 Request_For_Quotation_12943928484_Supply.htm
FedEx Service Alerts FedEx_**lee-Original_Document.htm
見積依頼 PO 230310-21A.htm
Re: PO 10960 PO10960 .htm
Payment sent On: Wednesday, March 8, 2023 4:17 a.m. Payment copy.pdf.html
New DHL Shipment Document Notice of Arrival / Shipping Documents / Original BL, Invoice & Packing List (DHL) Original BL, PL, CI Copies.htm
Fw: PO 107556 (送り状要請) PO 107556購入注文 .htm
You have received an essential encrypted company email – Remote ID SecureMessageAtt.zip
URGENT !!! Upgrade.html
新たな秩序/PO # PUR120449-1 注文_Inv PO # PUR120449-10.htm
Newly posted invoice , PL and BL Invoice.AWB#84248_pdf.htm
countec-sales2 You Have a delievery copy.AWB #0675854897.htm
FW:Payment Confirmation for Open Invoices INV-019358 sent via one-drive Paid_invoice.html
Alerta ScotiaWeb: Comprobante Transaccion exitosa en Scotiabank ANGEL REYES MACARIO (868579) Comprobante-2023-02-28T151137.308.pdf
New Contract N0_938 : PURCHASE ORDER ATTACHED POrder2023.pdf
INQUIRY QT-0023817552 QT_0023817552.html
✈[DHL] 収入税金納付締め切りのご案内 – (INV and AWB) DHLParcelShipment.html
Quotation QUO91019 Quote.html
DHL TRACKING NUMBER // ORIGINAL SCAN DOCUMENTS // VERIFY BL COPY FOR CHECKING // SHIPMENT ADVISE AGAINST OUR CONTRACT NO- WGCBD-141-21/22 (02X40″ 28LBS/1PLY) Electronic Form.shtm
PO 197496 ( Invoice Request ) PO_INV 197496 .htm
Payment Advice – Advice Ref:[922853603] payment.html
Payment Swift and Invoice Payment swift and invoice_ copy.shtml
OUR COMPANY NEW QUOTATION CONFIRMATION RECEIPT Remmitance Payment.html
New_fax_received_for_wong truefriend Fax #2046.htm.htm
Re: URGENT / Request for Quotation order specification.shtml
FedEx Service Alert. FedEx_Original_Document.htm
DHL Shipping Notification: Please kindly see shipping invoices for payment with delivery Packing List.htm
Re: NEW PO – NH1200/1500 scanPO.htm
PO 10120H5 (送り状要請) PO 10120H5購入注文 .htm
RE: PFI PO 4899 scan001.htm
Re: PO 1015 (送り状要請) 購入注文PO 1015.htm
PO#M013123-LTR1 PO#M013123-LTR1.xls.htm
CONFIRMATION RECEIPT Payment. Copy.html
Invoice – INV-00546 INV-00546.shtml
You have received a direct deposit alert! 83739832283382923893HHDJHSD83387HDSSDSH.xhtml
Your parcel has arrived urgent pick up needed today. parceldelivery.html
Your parcel has arrived urgent pick up needed today. AWB #8347630147.htm
Request for Quotation of : Ammunition Vehicle and Howitzer with Standard Tools and Accessories Ammunition Vehicle and Howitzer.html
New Order POH12-FA2306133 PO H12-FA2306133.html
見積依頼_**テック_20230223 [G0170-PF3F-23-0223].html
Fwd: Fw: Fw: inquiry New—inquiry.html
Request for quotation New Order.html
Payment Confirmation. USD 63,530.50.pdf

事例: マルウェア(InfostealerDownloader など)

メールの件名 添付ファイル
Re: Re: RE: anniversary KYC_HN70(Feb15).one
Re[4]: sexy pics greatimg.gif.scr
RE: New Order OZM PO#10391, PO#10392-6 New Order OZM PO#10391, PO#10392-6.rar
RFQ – Automotive Industry – 5 special drawing Item – SOP: 2023-2030 – RFQ – Automotive Industry.arj
Statement 000116057 TORKY SUPPLIES OFFICE Statement 000116057 TORKY SUPPLIES OFFICE pdf.zip
Request PV285.img
cool photo imortant privatephotos.scr
saipan star/CTM USD50000 USD50000.docx
Wire transfer receiot Receipt.doc
RE : PO FOR NEW ORDER ##2029 AND #5811 order_2023.pdf.GZ
Re[5]: super smart photo very important wild__images.pif
RFQ _Draft 08/03/032023 mSDPG5zv9nN0nP9.zip
ST51093Y1 ST51093Y10.ISO
Re: Inquiry Quote_3500001233.img
AW: PO-000001306 PO-000001306.r09
New Order NEW PO-4500123380_03062023.zip
PO NO.PO03238012, PO NO.PO03238012,.rar
Order-Dated 03-01-2023 Enquiry2314.xls
DHL Notification DHL Notification_pdf.rar
50% Remittance Advise Remittance_Advise.xls
Re: RFQ # GC-20230203 RFQ # GC-20230203L.r09
Revised Ghani Value Glass new order – SG Industries 100/24150### PI WIith Size is 6×5.xls
Fwd: Payment Release (GBS LOGISTICS) UPDATED SOA [REF CF005451] 2223.xls
RE: Reminder For Due Payment Payment Advice 232-52126620A.xls
Quotation is Requested petronas 1.rar
LEGAL ACTION ON YOUR COMPANY FOR LONG OVERDUE INVOICE Overdue.img
Informe de pago pago de la ..factura 11-369013.PDF.img
Ref:103XXXXX Shipment of Original Documents. DHL SHIPMENT NOTIFICATION.r09
super wonderful photos just for you sex_action.jpg.scr
Your DHL Parcel Has Arrived DHL.zip
YOUR EMPLOYMENT STATUS SALARY RECEIPT.img
QUOTATION 6857b4c0-c3c7-11ed-961c-44a842253043.zip
Re: HT1257299241547541310_202303081211.zip
MIME-Version: 1.0 266384963218743472978941034.zip
Supply of 3DC Project Marterials 3DC Project Marterials.rar
Re[4]: super beautiful photo bestscene.exe
FW: documentos solicitados Documentos66548864.pdf.img
Eccentric Plug valve Technical DataSheet Technical DataSheet.pdf.iso
RE: NUEVA ORDEN DE COMPRA 004799 ORDEN 004799 ROQUE.IMG
beautiful picture thepctrs.exe
smart pictures thephotos.gif.scr
ASEC 分析チームは上記の配布事例をもとに、ユーザーが注意しなければならないキーワードを選定した。キーワードがメールの件名に含まれていたり、同じような特徴がある場合、攻撃者が送信したフィッシングメールである可能性があるため、特に注意する必要がある。

注意するキーワード: 「PO(Purchase Order)」   

今週の注意するキーワードは「PO(Purchase Order)」である。一般的に、海外企業と取引する際には購入リストと数量の書かれた注文書を送るが、これを PO と呼び、PO は取引管理のため、大半は番号が付与されている。攻撃者は、取引業者を詐称して偽の PO 番号とともに偽のページ(HTML)ファイルを添付していた。これは PDF ログインページに偽装したもので、ユーザーのアカウント情報を要求していた。フィッシングメールはユーザーの ID/PW 入力ができるようになっており、ID/PW 入力ウィンドウの背景には注文書と推定される不鮮明な写真がある。ユーザーが ID/PW を入力すると、この情報が攻撃者サーバーに流出するため、アカウントを入力しないように注意しなければならない。
  • 攻撃者サーバー : hxxps[:]//experiaevents[.]in/italianpay/next.php

上記のサーバーを使用するフィッシングメールは、様々なユーザーに配布されたと見られ、3月8日から3月17日までにこのサーバーに接続した履歴が200件以上であることが確認された。これについて、ユーザー情報の窃取有無は不明だが、メールを受信した多くのユーザーがこの添付ファイルを開いたものと推定される。
 

偽のページ(FakePage) C2 アドレス

偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。

  • hxxps[:]//experiaevents[.]in/italianpay/next.php
  • hxxps[:]//formspree[.]io/f/xdovzjlo
  • hxxps[:]//submit-form[.]com/OIIpXOTl
  • hxxps[:]//daca[.]hostedwebsitesystem[.]com/vendor/phpunit/phpunit/src/Util/Log/index/index/spam/FedExpress[.]php
  • hxxps[:]//formspree[.]io/f/mjvdynwp
  • hxxps[:]//formspree[.]io/f/xwkjbjgo
  • hxxps[:]//formspree[.]io/f/myyakjqr
  • hxxp[:]//martinamilligan[.]co[.]business/ono/fdx[.]php
  • hxxps[:]//clinicacarlosgomes[.]med[.]br/wp-admin/kal/fte
  • hxxps[:]//formspree[.]io/f/mzbqgqyp
  • hxxps[:]//mallarg[.]tk/lp/fte[.]php
  • hxxps[:]//seafordrotary[.]org[.]au/Eppdff[.]php
  • hxxps[:]//k2-server[.]duckdns[.]org/roundbuk/pdf[.]php
  • hxxps[:]//cupertinochiropracticcenter[.]com/index/FedExpress[.]php
  • hxxps[:]//zenkoren[.]itigo[.]jp//cgi-bin/123/cloudlog[.]php
  • hxxps[:]//huntingfieldlodge[.]com[.]au/Aa/Excel22[.]php
  • hxxps[:]//formspree[.]io/f/mnqyznyy
  • hxxps[:]//mgffomento[.]com[.]br/wp-admin/dd/postdhll[.]php
  • hxxps[:]//holisticfacades[.]com[.]ng/wp-includes/aa/feed[.]php
  • hxxps[:]//dissertational-spee[.]000webhostapp[.]com/wp-admin/purchase/pdf[.]php

フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。

  • 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
  • ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
  • 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
  • アンチウィルスをはじめとしたセキュリティ製品を利用する。

フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。

  • Phishing for Information(Reconnaissance, ID: T1598[1])
  • Phishing(Initial Access, ID: TI1566[2])
  • Internal Spearphishing(Lateral Movement, ID:T1534[3])

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

Tagged as:,

0 0 votes
評価する
Subscribe
Notify of
guest

1 コメント
Inline Feedbacks
View all comments
trackback
ASEC 週間フィッシングメールの脅威トレンド (20230326 ~ 20230401) - ASECブログ
1 month ago

[…] 今週の注意するキーワードは「PDF Online」である。最近「PDF Online」に偽装したフィッシングサイトが韓国国内で拡散している。これについて3月22日のフィッシングメールの脅威トレンドでもこの偽のサイトについて紹介したことがある。拡散したフィッシングメールは、韓国企業に偽装しており、流暢な韓国語で作成されている。そのため、実際に流出したメールで作成したものと思われる。このようなフィッシングメールには HTML スクリプトファイルが添付されていた。これは、ユーザーの ID/PW の入力を要求する偽のページで、「PDF Online」と書かれており、ユーザーの ID/PW を要求する。もし ID/PW を入力する場合、この情報が攻撃者サーバーに流出するため、アカウントを入力しないように注意しなければならない。 […]

0
Reply