AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年03月26日から04月01日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 59%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 2番目に多かった脅威タイプは SmokeLoader、GuLoader のような Loader を含むダウンローダー(Downloader, 22%)であった。その次に多かったタイプは AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 7%)であった。これ以外にもインフォスティラーの振る舞いおよび追加マルウェアをダウンロードするバックドアマルウェア(Backdoor, 4%)、ワーム(Worm, 4%)、トロイの木馬(Trojan, 3%)などが確認された。 フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTML、HTM、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは、ZIP、7Z、GZ などの圧縮ファイルおよび IMG ディスクイメージファイル、DOCX ドキュメントファイルなどを含む様々なファイル拡張子で、メールに添付されていた。
配布事例
2023年03月26日から04月01日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
[DHL Express] 収入税金納付締め切りのご案内 – (INV and AWB)  |
ParcelDocumentDHL.htm |
| 見積書です(Order) | _24_153_IBXX 2307_54210_プロジェクト順序.htm |
| [FedEx] 収入明細案内。 | AWB#.SHTML |
| FedEx 顧客番号有効化の要請の件 | AWB#989345874598.html |
| [**工業社] 見積依頼の件 | ***** Industrial 新しい注文 2023-03-24.html |
| DHL AWB 配送通知 #0861542 | Original Shipping Doc#GM53726192.pdf.htm |
| RE: Re: 新規注文価格(カタログ修正) | 2023LEDprice.html |
| アカウント停止(最終通告) | Update Account.html |
| 全ての受信メールが保留されました。 | ********.com.html |
| You have received an essential encrypted company email | message_790311_832743609.htm |
| FedEx Shipment Arrival Notification | FedEx Shippingdocs.htm |
| Inquiry | Inquiry.htm |
| Attention: Service Suspension (Action Required for ******.co.kr) | Deposit_payment_confirmation.pdf |
| Shipment Booking Confirmation – BL Draft is Ready for Review… | Doc_20230327-3938.pdf.html |
| Your parcel has arrived urgent pick up needed today. | AWB #8347630147.html |
| [SEC=OFFICIAL:Sensitive, ACCESS=Personal Data-Privacy] | Personal Data-Privacy-SecureMessageAtt.html |
| There is an important encrypted corporate email you need to read | message_982155_128090224.htm |
| Doc signed : Quote Agreement 16 Mar 2023 | Quotation-No#0381.shtml |
| Re: Re: [subject line information removed] | W-9 Dt 03.22.2023.one |
| New DHL Shipment Document Arrival Notice / Shipping Documents / Original BL, Invoice & Packing List | (DHL) Original BL, PL, CI Copies.htm |
| Payment Copy | Payment Copy.gz |
| FW:Re:Re: Payment Advice. | Proforma Invoice.html |
| RE: Re: [subject line information removed] | form 03.22.2023 Gmail.one |
| You have received an essential encrypted company email | message_033902_557044732.htm |
| MAERSK LINE SHIPPING DOC SOUNDWORLD ENTERPRISE CO.,LTD | Shipping_Doc.html |
| An important encrypted corporate email has been sent to you | SecureMessage.zip |
| Pending invoice 10026870-1 | scan_10026870-1.htm |
| Original invoice customs clearance notification. | Original-invoice & PList_admins.htm |
| EFT Payment-Invoice 0000315: Completed_ Please Review and Sign | Settlement-Payment-On-Hold.pdf |
| Your parcel has arrived urgent pick up needed today | Shipping_Doc.htm |
| [DHL] Arrival Notice – Original Shipping Document – 2327821366 | scan_document.html |
| FW: RE: WIRE INSTRUCTION | Scan_Wire Instruction.PDF.shtml |
| Pickup Confirmation Wednesday, March 15, 2023 8:6 a.m.. | Swift_confirmation_copy.PDF.shtml |
| RFQ- 1309445 | QUOTATION.pdf |
| Attached is the remittance advice payment | 02112022093630.pdf.html |
| new order(#0034) request | Invoice.html |
| DHL Parcel Delivery Notification | Details.shtml |
| Express Package Delivery Notification | AWB#details.html |
| There is an important encrypted corporate email you need to read – | message_567890_498055656.htm |
| Purchase Order PB2ED146HB2M-047 | Purchase Order PB2ED146HB2M-047.html |
| op****@*********.co.kr Signed Document | e-Signed_Doc_____________op****@*********.co.kr.html |
| An important encrypted corporate email has been sent to you | FAX_MAIL.zip |
| EFT Payment sent On: Wednesday, March 22, 2023 2:53 a.m. | pjhh PaymentVocher.shtml |
| Due_lnvoice__countec.comFriday, March 24, 2023 | Inv® #PT947234.htm |
| SF Express | WaybillDoc_8945655902.html |
| Greeting!!! | GAAS-RFQ#2022061602-KD-Ref.pdf |
| maito_op****@*********.co.kr Signed Document | e-Signed_Doc_____________maito_op****@*********.co.kr.html |
| Statement of Account | *****.com_SOA00424322332_xls.shtml |
| Fw: Re: [subject line info removed] | Electronic form 03.22.2023.one |
| An important encrypted corporate email has been sent to you – | message_381082_213244471.htm |
| You have received an essential encrypted company email | message_924733_817031910.htm |
| Re: FW: [spoofed sender name] | doc_0322.one |
| Payment invoice Bank Transfer | Invoice#91273.pdf |
| Re: (Urgent Order) – PO# M01552 | PO ella RFQ #M01552-PDF.shtml |
| Re: Fw:Inquiry for 2023 New Products Prices | Old Prices.zip |
| RE: PO.14036987,14038068 shipping documents and payment via DHL (083AB单) | payment_doc & shipment#7221HKT.htm |
| Approved_New_PO0014232023 ******.co.kr | PO_00140323_Beals_Inc_******.co.kr.html |
| < Re: New voice message from WIRELESS CALLER 15633963052 > | voicemail_03232023.htm. |
| RE: New Invoice Order Payment | NewInvoiceOrderStatement.html |
| FW: Payment | invoice sheet.html |
| Purchase Order (Sales Invoice) | PurchaseOrderSheet.html |
| RE: AMENDED INVOICES | Proforma Invoice.shtml |
| Quote us your best offer on the attach order (treat urgently) | Purchase#order.html |
| NEW ORDER- OC#8081013559 PO#3495-1022 | New order sign invoice for payment.htm |
| Approved_New_PO0014232023 ********.com | PO_00140323_Beals_Inc_********.com.html |
| Re: Proforma invoice | Swift Remittance.html |
| Approved_New_PO0014232023 *********.com | PO_00140323_Beals_Inc_*********.com.html |
| You have received an essential encrypted company email – Remote ID | Securedoc_06593415.html |
| You have received an essential encrypted company email – Remote ID | Securedoc_39067527.html |
| Approved_New_PO0014232023 ***********.co.kr | PO_00140323_Beals_Inc_**********.co.kr.html |
| There is an important encrypted corporate email you need to read | Securedoc_93717448.html |
| You have received an essential encrypted company email | Securedoc_23992084.html |
| An important encrypted corporate email has been sent to you – | Securedoc_90978661.html |
| There is an important encrypted corporate email you need to read – | Securedoc_67152574.html |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| smart picture don’t show | myplp.exe |
| sexy photos | sexpctrs.pif |
| sexy pictures | superplp.gif.scr |
| super nice images only for you | super_pctrs.scr |
| super sexy photo only for you | sex_act.scr |
| super sexy pics don’t show | super_img.pif |
| super cool images imortant | the_imgs.scr |
| super cool picture only for you | private__plp.jpg.exe |
| very wonderful pictures | my_plp.gif.scr |
| very cool pics | cool-action.gif.exe |
| RE: RE: RE: RE: Захтев | 04352562561652.zip |
| SOA FROM SHANGHAI LEAGUE/CITI LOGISTICS (USD 16) | SOA #00776122.docx |
| 購入注文 | 480038_944.r00 |
| Credit note for the month of March 2023- 11005605 | SOA.MARCH.iso |
| Borch request# RES_AGB_eroFame_DE_2023 Project | RES_AGB_eroFame_EN_2023.zip |
| Bussiness Inquiry | Nutribrasalimentos.zip |
| Aw: PAYMENTS | 30.03.2023_SWIFT MT 103_9078212345TRF.gz |
| Give your best price on the demands | Products Needed__________________pif.arj |
| DAMAGE GOODS/SETTLEMENT | Scan Pictures.img |
| DHL Express SHIPPING NOTIFICATION | DHL Booking.zip |
| FW: QUOTE REQUEST FOR SI-22311 II DOC- SI/MUM/2022-30/00307 II New PO# 10344 // CNEE | New PO# 10344_CNEE.docx |
| Fw: Payment Advice – Advice Ref:[A1Xbj7fJ0V7W] /credits / Customer Ref:[BATCHFEB280301] / Second Party Ref:[TRN270323015] | Advice.jpg.7z |
| Fw: RE: RFQ – Gauges and accessories | RFQ – Gauges and accessories.zip |
| Fw: RE: URGENT****Our inquiry 23/SPEC02781 | SPEC02781.zip |
| Employment Status And Salary Advance.. | Employment Status And Salary Advance…img |
| LEGAL ACTION / LONG OVERDUE INVOICE | Details Aan Invoice 2.img |
| NUEVA ORDEN DE COMPRA | PO-4101927653_APRIL 2023.gz |
| New Scanned document from Kciltd Office Printer | Scan_Docs_004521.docx |
| MV INLACO ACCORD / ETA: 25TH FEB ++ AGENT NOMINATION | DISCHG.IMG |
| Successflly Transferred settlement for outsending SOA | swift.zip |
| PO NO 0023 | PO NO 0023.zip |
| Po 106069 | PO-1060688.z |
| Payment Advice 564302 | Payment Advice 564302.docx |
| Permintaan Informasi Harga | RFQ.LM-0107PDF.rar |
| Price Inquiry – 28510837398013 | 20230331-28510837398013.rar |
| Price Quotation for P/N: 61092-10 | SKM7109Y510S.IMG |
| Price Quotation for P/N: ESP1092-10 | ESP15903YI0.IMG |
| RE: A/R Down Payment Request 10285 | Bank Slip 30% Advance Payment to enable production of the goods.zip |
| RE: FedEx Notification of Arrival – AWB# 102235516763 | FedEx Express AWB#102235516763.rar |
| RE: PRO-FORMA INVOICE NO-1820Q/2023 | PI-1820Q.xls |
| RE: Please Confirm Payment | Payment Copy USD14,000.zip |
| RE: Request For Quote – Urgent ! | MRSK0052447.IMG |
| RE: UPDATED SOA | 4970528.xls |
| RE:FedEx Notification of Arrival – AWB# 102235516763 | FedEx Receipt_1022355161763.rar |
| REVISED -Order 5879024-00/PO 4677/PO 4678 | PO feb.docx |
| RFQ-WES/510/92/810 | WES51092Y810.IMG |
| Re: Order-CHW/U2/SI/22-23/3534 | Order-CHWU2SI22-233534.xls |
| Re: super smart pics | greatpctrs.exe |
| Re:Request for Quotation | UPDATED_LIST.7z |
| Retiro | retiro-pdf.gz |
| Re[3]: wonderful images imortant | great-photos.gif.pif |
| Re[3]: super nice images only for you | wild__action.jpg.scr |
| Re[3]: very wonderful photos private | wild-plp.jpg.exe |
| Re[2]: nice photos only for you | priv__scene.jpg.scr |
| Re[2]: super smart pics just for you | fuck__images.gif.exe |
| Re[2]: very nice picture | great__img.jpg.scr |
| Re[2]: very nice picture imortant | bestimgs.scr |
| Re[4]: very wonderful photos | prv_action.exe |
| Re[5]: nice picture imortant | priv__act.exe |
| Re[5]: super cool photo | priv__action.scr |
| Re[5]: smart photo | fuckimages.pif |
| Re[5]: very nice photos | fuck__pctrs.jpg.scr |
| Rechnung, ausstehende Zahlung | RH-0987654345678.Z |
| Reference Notice | Reference Notice_pdf.rar |
| Request For Quotation | QUOTATION.zip |
| Request For Quote #182044-13 | PO.xls |
| Request for Quote | RFQ.exe |
| World Surfaris Remittance | Balance$1,234,000,45-pdf.gz |
| TOTSA – Request For Quotation | RFQ005412.IMG |
| UPDATED SOA | Overdue soa.zip |
| Urgent Order | Product Lists2.PDF.img |
| cool pics | privateaction.pif |
| beautiful photo | myscene.jpg.pif |
| enquiry_2703_023 | enquiry_2703_023.rar |
注意するキーワード: 「PDF Online」
- フィッシングアドレス : https[:]//naturaverdebeauty[.]com/justld/next.php
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- https[:]//formspree[.]io/f/myyazkbv
- https[:]//neduet[.]hosting[.]acm[.]org/pdf[.]php
- https[:]//submit-form[.]com/rS8vx7dD
- https[:]//razarmanagement[.]com/192[.]185[.]224[.]69/,/ue/postdhll[.]php
- http[:]//ns2[.]wrsc[.]org/sites/all/libraries/elfinder/files/index/kugo/FedExpress[.]php
- https[:]//formspree[.]io/f/xgebzovk
- http[:]//tzp[.]com[.]pk/wp-admin/fte[.]php
- https[:]//archerhall[.]com/wp-admin/Exc/Excell[.]php
- https[:]//www[.]calvellirappresentanze[.]com/wp-content/plugins/TOPXOH/index/index/1/add[.]php
- https[:]//escolagirassol[.]com[.]br/dd/ddhl[.]php
- https[:]//formspree[.]io/f/mdovedpp
- https[:]//formspree[.]io/f/moqzlyod
- https[:]//hobbyless-features[.]000webhostapp[.]com/pdf[.]php
- https[:]//gooddreams[.]co[.]in:/smhh/webapp[.]php
- https[:]//elhdlwfa2o4[.]sa[.]com/horn/log1234567[.]php
- https[:]//undebauched-hyphens[.]000webhostapp[.]com/dhlc[.]php
- https[:]//formspree[.]io/f/moqzllag
- https[:]//alemadistones[.]com/secure/Citizen/Exo/css/FX/cloudlog[.]php
- https[:]//submit-form[.]com/NhEAc2e9
- https[:]//firp[.]governo[.]ao/plauge/vmxll[.]php
- https[:]//formspree[.]io/f/mdovdokw
- https[:]//cambiamarcia[.]net/wp-includes/pdf[.]php
- https[:]//formspree[.]io/f/xnqyzrzj
- https[:]//www[.]nrwolff[.]com[.]br/wp-admin/maint/bv/mxl[.]php
- https[:]//qleapinnovations[.]com/peeking/peeking[.]php
- https[:]//archerhall[.]com/wp-admin/php/pdf[.]php
- https[:]//izmirlist[.]com//2Ae/jotform[.]php
- https[:]//naturaverdebeauty[.]com/justld/next[.]php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 総計