AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年03月12日から03月18日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 66%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 2番目に多かった脅威タイプは SmokeLoader、GuLoader のような Loader を含むダウンローダー(Downloader, 10%)であった。その次に多かったタイプは AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 7%)とトロイの木馬(Trojan, 7%)であった。Trojan は .NET パッカーのタイプが最も多く、これは過去に「最新 .NET パッカーの種類および韓国国内の拡散動向」で Type 3「VariantCrypter」として紹介したタイプである。これ以外にもワーム(Worm, 6%)、脆弱性(Exploit, 4%)などが確認された。 フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。 
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTML、HTM、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは、ZIP、R09、RAR などの圧縮ファイル、IMG ディスクイメージファイル、PDF ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されていた。今週は特に VHDX 形態の拡張子が新たに収集された。
配布事例
2023年03月12日から03月18日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| New DHL Shipment Document Arrival Notice / Shipping Documents / Original BL, Invoice & Packing List | (DHL) Original BL, PL, CI Copies.htm |
| FedEx 発送品到着通知 | AWB#989345874598.html |
| Hyundai: 見積依頼/ PO #10487X6 | 見積依頼 PO #10487X65.htm |
| FedEx Shipment Notice of arrival | OFFICE #.html |
| NEW FAX 13 Mar 2023 | 見積依頼 Scan_PO #1192-ID_HYU-23.htm |
| Re: 見積依頼 PO #1192-ID_HYU-23 (プロジェクト ) | ***.com_SI0284627_pdf.shtml |
| Kindly Check Company Bank Information | Shipping_Doc.html |
 [FedEx 814709668979]荷物が到着しました |
FedExParcelShipment.html |
| Signed Documents | Doc_____________j****e@a***d*.co.kr.HTM |
| ENC: RES: ENC: APARELHO COM DEFEITO_PROBLEMAS COM REPARO/SOLU | Quis.html |
| EFT Payment sent On: Monday, March 13, 2023 3:57 p.m. | ruizhen02 Voucher.shtml |
| PO 10120H5 (送り状要請) | PO 10120H5 購入注文 .htm |
| New Order- Medical Oem Ref#: 20-1939A – I-SENS | Purchase Order RFQ List.pdf |
| Re: PO NO. PO-O3465-0001 // ORDER INV-O34652726-PI | PO269007-SPL ORDER.pdf.htm |
| Pickup Confirmation Wednesday, March 15, 2023 5:2 a.m.. | Swift_confirmation_copy.PDF.shtml |
| PO#2388 | PO#2388___PDF.html |
| Re: PO 1015_INV (送り状要請) | 送り状要請 PO 1015_INV.htm |
| 見積依頼 | PO 230310-21A.htm |
| Truefriend You’ve received EFT For INV7098590870. Thu 3/16/23 | ATT5098090870908.htm |
| Please_find_attached_Aging_Reports_for_Truefriend_arrive_on_March_15_2023_at_A11 | TruefriendStatement.HTM |
| EFT Payment sent On: Monday, March 13, 2023 4:51 p.m. | entec Voucher.shtml |
| Debt Recovery: Legal Action For Unpaid Invoices. | Debt_Recovery_Suit_&_Invoices_2022_2023.hTm |
| Fwd: New Quote needed for the attached document | Quote Project-#2 *******@t*******d.com PDF.html |
| Your parcel has arrived urgent pick up needed today. | copy.AWB #0675854897.htm |
| New Order- Ref#: 20-1939A – I-Sens | Purchase Order_PDF.html |
| R.F.Q_PURCHASE-ORDER | PURCHASE ORDER.html |
| アカウント停止 | Update Account.html |
| [DHL#003791-748294] 荷物が到着しました |
DHLParcelShipment.html |
| Re:FedEx Logistic收到货件通知 | Invoice. AWB#84248_pdf.htm |
| (INV and AWB/PACKING LIST) Your DHL Parcel Has Arrived |
ParcelDocumentDHL.html |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| [DHL] 収入申告受理内容書(受理前納付) – 7759303436 | Dates Schedules.gz |
| RE: NEW PRODUCT ORDER | Order Quantity.xls |
| Re: RETURNED PAYMENT TT INTERMEDIARY DETAILS (Ref 0180066743) | remittance Invoice.xls |
| nice pics | privateimages.gif.exe |
| very cool pictures | super-phot.exe |
| Request Quotation for RQ-P0953. | Request Quotation.docx |
| Tender Ref. No. (NPBF-TID-013-23) | No. (NPBF-TID-013-23).z |
| Fwd: FE-SGNJEA230254 // 1×40’HC // ETD: 29-Mar // PO: WSF/NTI//020323/1001 | 1×40’HC Shipping Doc 4253.rar |
| Payment (URGENT BANK ACCOUNT) | INVOICE_VM220200200208.r09 |
| Re: Invoice For Shipment | AD1-2001028L.z |
| smart pictures just for you | sexphot.jpg.exe |
| Re[5]: very wonderful photo | prvphotos.jpg.scr |
| New Buyer’s Inquiry – Please send me FOB price | Order.r17 |
| RE: Invoice & Packing list For Sea Shipment | Invoice & Packing list.r00 |
| RE: WO NO 23085//EGYTVR GROUP LTD | WO NO 23085EGYTVR GROUP LTD.r00 |
| Re[4]: super nice photos very important | great__scene.gif.exe |
| Fw: PAYMENT COPY | 20230313_TRF8012561011_Swift Message.gz |
| Re: very nice pics imortant | fuck-plp.pif |
| RE: PO SAL 003120 JK | OUTSTANDING PAYMENT.zip |
| Inquiry | Quote FCCL-1000000044.img |
| Re: Quotation | E700 quotation20111309.r09 |
| smart photo very important | privateact.gif.pif |
| super beautiful photo | private-img.scr |
| super sexy pics | my_img.jpg.scr |
| RFQ PO #3052023 (FLOWQUIP PTE LTD) | RFQ PO #3052023 (FLOWQUIP PTE LTD) PDF.7Z |
| Re[5]: very wonderful photo very important | wild-img.gif.scr |
| sexy pictures | privatepic.exe |
| New_Order#SQ031776 | New_Order SQ031776.pdf.7Z |
| Your invoice and full remittance | Esiknm.img |
| FW: Technical Data | 3578490.zip |
| RFQ QUOTATION #inq25253 | Order INQ09637 Quotation pdf.gz |
| RE: Contract 2023-0006 | Contract 2023-0006.r00 |
| cool photo | coolscene.scr |
| ORDER CONFIRMATION | PO-03QH.xls |
| Re: Fwd: Payment Advice | Payment Advice Copy.eml.zip |
| Re[5]: super nice photos PRIVATE | prv-img.gif.exe |
| Re[3]: smart photo | wildpic.gif.exe |
| super beautiful pics only for you | my__plp.gif.exe |
| Request For Quotation | QUOTATION.zip |
| Fwd: FE-SGNJEA230254 // 1×40’HC // ETD: 30-Mar // PO: WSF/NTI//020323/1001 | 1×40’HC Shipping Doc-4253.rar |
| PO_0108670 | PO_0108670.gz |
| Your February Electricity Bill | Feb Electricity Bill.rar |
| beautiful picture | privateimages.jpg.exe |
| RE: Outstanding balance | SOA.xls |
| Shipment Documents | docs.xls |
| RFQ | PSU-PQRN-23-00004 Supply at Port Suwaiq.zip |
| Re[5]: very wonderful pics | fuckscene.exe |
| Payment Advice | Payment.7z |
| very cool pics | cool-act.jpg.scr |
| Re[5]: very wonderful picture very important | great__phot.exe |
| cool pics | theimgs.pif |
| Re[2]: super wonderful images imortant | great-action.jpg.exe |
| Employment Status And Salary Advance.. | Employment Status And Salary Advance…img |
| New PO/ Invoice #-010-240 | PO #010-240 .xls |
| RE: INCORRECT IBAN-PLEASE CHECK | INVOICE.zip |
| Re[2]: beautiful pictures | wildphot.jpg.pif |
| super beautiful pictures | private__pctrs.gif.scr |
| СРОЧНО: Факс №9546/2с | Факс №95462с.vhdx |
| RE: SU23 SEA SHIPMENT | SCANNED COPIES DOC.001 |
| RE: LONG OVER DUE | BANK SWIFT.xls |
| beautiful pics | sexscene.gif.exe |
| sexy photo | privateact.jpg.pif |
| Incoming Shipment Notification | DHLAWB#6833799799.docx |
注意するキーワード: 「収入申告受理内容書」
[図] 「収入申告受理内容書」の件名で大量に拡散しているメール
[図] 添付された圧縮ファイル内の vbs マルウェア(Guloader)
[図] 添付された VBS(Tax Notification-7759303436.vbs)コードの一部
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- https[:]//formspree[.]io/f/xdovzjlo
- https[:]//submit-form[.]com/OIIpXOTl
- https[:]//daca[.]hostedwebsitesystem[.]com/vendor/phpunit/phpunit/src/Util/Log/index/index/spam/FedExpress[.]php
- https[:]//formspree[.]io/f/mjvdynwp
- https[:]//formspree[.]io/f/xwkjbjgo
- https[:]//formspree[.]io/f/myyakjqr
- http[:]//martinamilligan[.]co[.]business/ono/fdx[.]php
- https[:]//clinicacarlosgomes[.]med[.]br/wp-admin/kal/fte(1)[.]php
- https[:]//formspree[.]io/f/mzbqgqyp
- https[:]//mallarg[.]tk/lp/fte[.]php
- https[:]//seafordrotary[.]org[.]au/Eppdff[.]php
- https[:]//k2-server[.]duckdns[.]org/roundbuk/pdf[.]php
- https[:]//cupertinochiropracticcenter[.]com/index/FedExpress[.]php
- https[:]//zenkoren[.]itigo[.]jp//cgi-bin/123/cloudlog[.]php
- https[:]//huntingfieldlodge[.]com[.]au/Aa/Excel22[.]php
- https[:]//formspree[.]io/f/mnqyznyy
- https[:]//mgffomento[.]com[.]br/wp-admin/dd/postdhll[.]php
- https[:]//holisticfacades[.]com[.]ng/wp-includes/aa/feed[.]php
- https[:]//dissertational-spee[.]000webhostapp[.]com/wp-admin/purchase/pdf[.]php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計