AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年03月19日から03月25日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 59%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 2番目に多かった脅威タイプは SmokeLoader、GuLoader のような Loader を含むダウンローダー(Downloader, 23%)であった。その次に多かったタイプはワーム(Worm, 7%)であった。Worm マルウェアは伝播機能を含むマルウェアの分類で SMTP プロトコルを使用し、大量のメールを送信するなどの様々な方式でマルウェアを伝播している。それ以外にも情報奪取型マルウェア(Infostealer, 6%)、トロイの木馬(Trojan, 4%)、脆弱性(Exploit, 2%)が確認された。 フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTML、HTM、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは、ZIP、R09、RAR などの圧縮ファイル、IMG ディスクイメージファイル、PDF ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されていた。
配布事例
2023年03月19日から03月25日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| [**銀行取引通知]_単発送金-国内資金振り込み専門通知 | セキュリティメール.html |
| [FedEx] 収入明細案内 | AWB#.HTML |
| FW: 見積依頼 PO #1192-ID_HYU-23 (プロジェクト) | 見積依頼 Scan_PO #1192-ID_HYU-23.htm |
[DHL] 収入税金納付締め切りのご案内 – (INV and AWB)  |
ParcelDocumentDHL.html |
| FedEx 発送品到着通知 | AWB#989345874598.html |
| DHL Shipment Document Arrival Notice / Shipping Documents / Original BL, Invoice & Packing List | Doc#447805.htm |
| Quotation & Sample | Quotation Sample designs.pdf |
| FedEx Shipment Arrival Notification | FedEx Shippingdocs.htm |
| NEW ORDER on 3/23/2023 9:31:33 a.m. | ORDER_LST .html |
| UPS Ship Notification, Paperwork is Attached | UPS Shipment Paperworks ********@*********.co.kr.HTM |
| *******@*********.co.kr Signed Document | e-Signed_Doc_____________*******@*********.co.kr.htm |
| New DHL Shipment Document Arrival Notice / Shipping Documents / | TruefriendStatement.HTM… |
| Original BL, Invoice & Packing List. | (DHL) Original BL, PL, CI Copies.htm |
| Your parcel has arrived urgent pick up needed today | Shipping_Doc.htm |
| FedEx Ship Paperworks for Antstudio | e-Secure_FedEx03818420230315112447.html |
| RE: INVOICE PAYMENT ADVICE $77,823.44 USD INVOICE REMITTANCE COPY | invoice payment remittance copy.htm |
| **@*********.co.kr Signed Document | e-Signed_Doc_____________**@*********.co.kr.htm |
| RE: PO.14036987,14038068 shipping documents and payment via DHL (083AB单) | payment_doc & shipment#7221HKT.htm |
| ********@*********.co.kr Signed Document | e-Signed_Doc_____________********@*********.co.kr.htm |
| Re: Fw:Inquiry for 2023 New Products Prices | prices.zip |
| RE: New Invoice Order Payment | NewInvoiceOrderStatement.html |
| NEW ORDER- OC#8081013559 PO#3495-1022 | New order sign invoice for payment.htm |
| There is an important encrypted corporate email you need to read | Securedoc_82396476.html |
| Shipment Booking Confirmation – BL Draft is Ready for Review | Draft Bill of Lading – SHSYD4096642.htm |
| New DHL Shipment Document Arrival Notice / Shipping Documents / Original BL, Invoice & Packing List | (DHL) Original BL, PL, CI Copies.html |
| You have received an essential encrypted company email | Securedoc_05741605.html |
| An important encrypted corporate email has been sent to you | Securedoc_28422847.html |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| [DHL] 収入申告受理内容書(受理前納付) – 7759303436 | Tax Notification – 7759303436.z |
| Statement of Account from Partners attached | Statement of Account from Partners.rar |
| RE: NEW PRODUCT ORDER | Order Quantity.xls |
| Order Enquiry 202300221 | Order Enquiry 202300221.zip |
| New Customer Order | ORDER101-PDF.tar |
| World Surfaris Remittance | balance$405,000.34-pdf.gz |
| New Booking,/payment | INVOICE.xz |
| RE: Re: [subject line info removed] | report 1219844918.one |
| Re: Confirmation transfer AGS # 22-0035 | Confirmation Transfer MT103_Pdf.7z |
| Re[5]: nice picture only for you | best__plp.jpg.exe |
| Re: Fw:Inquiry for 2023 New Products Prices | New 2023 prices list.zip |
| smart pics | superphotos.gif.exe |
| Re: Wire confirmation details | TT copy.xls |
| PO# 17711 | PO_Q0149-REV1-2023.xls |
| Your Transport Plan has Changed – Maersk | Transport Plan.img |
| very wonderful pics PRIVATE | super-plp.pif |
| sexy photo private | superphotos.scr |
| New PO#4501250499 P/N R505567 | PO#4501250499 .xls |
| beautiful pictures | myimg.gif.scr |
| RE: Re: [subject line information removed] | list-896881.zip |
| Re: very wonderful pictures don’t show | great-img.jpg.exe |
| Re[5]: very cool images don’t show | privact.gif.exe |
| Re[3]: very smart images PRIVATE | wild_action.gif.exe |
| very wonderful photos don’t show | sex_pic.jpg.scr |
| FW:Payment Overdue Invoices | Swift30405830330.arj |
| wonderful picture just for you | coolplp.gif.scr |
| Re: very cool pictures only for you | great_scene.jpg.pif |
| sexy pictures | superimages.gif.scr |
| Re[3]: cool pics | fuck__photos.jpg.scr |
| RE: WO NO 23085//EGYTVR GROUP LTD | REVISED EGYTVR GROUP LTD.r00 |
| Re: Re: Happy new year! | List_1603.one |
| Fw: Re: [subject line information removed] | Scan_247.one |
| very nice photo | the-action.gif.pif |
| nice photo | myimages.gif.pif |
| Daily Statement – Payment Report | Daily Statement.xz |
| sexy photo | coolpic.scr |
| Re[5]: sexy photos | greatphotos.exe |
| Re[5]: very wonderful images PRIVATE | privimages.gif.pif |
| Advanced payment for invoice 060296 | proof of payment 20th March.r09 |
| super beautiful pictures | sex_pic.exe |
| Re[4]: very nice pics only for you | wild-images.jpg.scr |
| Re[5]: very wonderful picture only for you | fuck-images.exe |
| INVOICE ITALY SHIPMENT PICK UP—-771001413904 | INVOICE 771001413904.xz |
| Payment Advice – Ref: [HSBC41057723] / RFQ Priority Payment / Customer Ref: [PI7800152T9] | Payment Advice – Ref [HSBC41057723]PDF.7Z |
| RE: New Order | New Order.r09 |
| REMITTANCE TT COPY $23,150.00_20230320.pdf | REMITTANCE TT COPY $23,150.00_20230320.pdf.gz |
注意するキーワード: 「取引通知」
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- https[:]//outmoded-leaks[.]000webhostapp[.]com/fte[.]php
- https[:]//formspree[.]io/f/myyazkbv
- https[:]//formspree[.]io/f/xgebzovk
- https[:]//formspree[.]io/f/myyazkbv
- https[:]//app[.]padhaaku[.]co[.]in/bda/aim/fte[.]php
- http[:]//ns2[.]wrsc[.]org/sites/all/libraries/elfinder/files/index/kugo/FedExpress[.]php
- https[:]//escolagirassol[.]com[.]br/dd/ddhl[.]php
- https[:]//alemadistones[.]com/secure/Citizen/Exo/css/FX/cloudlog[.]php
- https[:]//eagleconstructiontn[.]com/321[.]php
- https[:]//formspree[.]io/f/xbjeaypw
- https[:]//belwooddoors[.]by/21/jotform[.]php
- https[:]//veterantechnologysolution[.]com/media/dhl/fte[.]php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計