ASEC 週間フィッシングメールの脅威トレンド (20230402 ~ 20230408)

AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年04月02日から04月08日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。

フィッシングメールの脅威タイプ

一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 47%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照  2番目に多かった脅威タイプは SmokeLoader、GuLoader のような Loader を含むダウンローダー(Downloader, 18%)であった。その次に多かったタイプはワーム(Worm, 15%)であった。続いて AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 10%)であった。その他にもトロイの木馬(Trojan, 5%)、ドロッパー(Dropper, 5%)などが確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。

添付ファイルの拡張子

上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは ZIP、7Z、GZ などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。

配布事例

2023年04月02日から04月08日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。

事例: 偽のログインページ(FakePage)

メールの件名 添付ファイル
RE: [****] ** 1,2号機 EDM 諮問関連 APCFS 学会ポスター発表資料 NM.pdf
あなたのメールへのアクセスが制限されます確認失敗 fi***ce@*********.co.kr Update-2023.htm
RE: **** 7,8号機脱窒設備性能改善見積依頼 MI.pdf
返信:[****] 脱硫設備パイプラック ***社配管 Inform.送付および反映の件 IR.pdf
FWD: [DHL] 収入税金納付締め切りのご案内 – (INV and AWB) Original Shipping Doc#GM53726192.pdf.htm
ネ** ク* すべてのキーワードです KTX.pdf
FW: 発注書添付。 PO20230403.html
[外部]FW: [******] 提供サービス申請顧客イベント検討要請 RA.pdf
ユーザーメール連携解除 ********.****@*********.co.kr Update-2023.htm
FW: 2019年1月保安の日コンテンツの共有 UT.pdf
[外部]FW: [**] 経歴証明書&懲戒確認書発給要請(***) EN.pdf
RE: RE: RE: RE: ****) ** 1, 2号機 EDM 指紋関連表面 SEM 測定写真 CT.pdf
SRPI Project 見積依頼 Specfication for SRPI Project.htm
Quotation QUO91019 Quote.html
AIR WAY BILL – INVOICE AND PACKING LIST AWB#.SHTML
New DHL Shipment Document Arrival Notice / Shipping Documents / Original BL, Invoice & Packing List (DHL) Original BL, PL, CI Copies.htm
DHL Express DHLSHIPPINGDOCS.htm
FedEx Shipment 811470484778: Parcel Scheduled For Delivery Shipping Document.html
R: New offer request scan001.htm
A Recent Charge on your Card was Unsuccessful Account_Security _Message.htm
New DHL Shipment Document Arrival Notice: Shipping Documents, Original BL, Invoice & Packing List. Tracking.html
THIS PURCHASE ORDER IS VRY URGENTLY NEEDED AND (TREAT IMPORTANT) important#order.html
ACH Payment sent On: Monday, April 3, 2023 12:51 p.m. Swift_Payment_Confirmation.pdf.shtml
Financial Statement /acc****ing@a*********.co.kr Financial Statement.shtml
【132nd Canton Fair】 b****gu@*****.**.kr.htm
New Order PO54324567.htm
PO#28124758 28124758.htm
***@*********.co.kr sent you files via WeTransfer WeTransfer files_*****ne@*********.co.kr.Htm
Re: ******.park You Have 1 New Shared Document Truefriend_PAYMENT_CONTRACT.pdf
ACH Payment sent On:Thursday, April 6, 2023 1:43:27 PM h***m@*********.com Voutcher.shtml
RE: IBK SWIFT PAYMENT COPY IBKPaymentSwiftApproval.html
Purchase Order PO-3242 from VP Group Limited for sjlee PO-3242.html
ACH Payment sent On:Thursday, April 6, 2023 3:20:47 PM s***m@*********.com Voutcher.shtml
Re:Re:Re: Quotation order New_Order Inquiry.Htm
Re : invoice for MARCH 2023 REVISED INVOICE.shtml
Payment Transaction Notification : Success optical PAYMENT ADVICE-US$ 168,573.htm
COMMERCIAL OFFER COMMERCIAL OFFER.html
Your grant donation – {Mrs Jacquelline Fuller} Donation Application.docx

事例: マルウェア(Infostealer、Downloader など)

メールの件名 添付ファイル
未決済口座明細書を開く 口座明細書を開く.PDF.jar
Attachment NEW ENQUIRY-pdf.gz
Re: Re: Return invoice for Payment Return invoice.rar
Pedido Pedido040323.rar
[DHL] 収入申告受理内容書(受理前納付) – 7759303436 [DHL] 7759303436.rar
Your Shipment has Arrived Tracking Number! Protected Copy Doc 099876858.rar
PO#40823-LiDe Industry Group Co Limited PO#40823.rar
Request for quotation – lpr no. 8661 RDA 8661 SEBASTIANO.rar
RE: RFQ-08-057-SAFETY SHOWER UNIT WITH COOLING SYSTEM RFQ-08-057.rar
NEW ORDER PO # IF23029361209 PO # IF23029361209.rar
RE: COSTCO Purchase Order #180222/CT24 & #160222/CT71 COSTCO Purchase Order.rar
PURCHASE ORDER 163403 Drawings.gz
Re: Fw: Payment for Outstanding Invoice INV19384783.html
Fw: PAYMENTS 20230406161956432901.zip
World Surfaris Remittance balance$600,000.65-pdf.gz
Product Enquiry SKM51092BY210.IMG
PO NO. 42236592 PO#NO42236592000010.pdf.ARJ
WE WISH TO BUY THESE PRODUCTS Product Listed.exe
SOA MARCH 2023 SOA.xls
PAGO JUSTIFICANTE DE PAGO.rar
Request from Octopus Asia Pacific SKMB710925U10.xz
SumiP Machine equipment Inquiry SUMIP MACHINE EQUIPMENT INQURIY.rar
Re[3]: super smart pics private best_img.jpg.scr
Order List Order-List.iso
Re: Document PO4377J7P Document 54737.7z
Fwd: Re: Advanced Payment Confirmation Advanced Payment – Ref_001299384596OBR11522.gz
KCI – Statement of Account – 30th march 2023 statement for HADCO S.A.O.C.exe
Purchase Order PO GEC/PO/18667 for EHAF – KSA supply Project PDF1567256210241910840.r01
Deposit made to your account Deposit slip.exe
FW:New PO#SPL036570 + RFQ036647 New PO#SPL036570.pdf.GZ
Technical Datasheet Technical_ Datasheet.7z
Re: Price Qoutation Request RFQ 2008817838749.PDF.Z
Request for Quote Request for Quote.PDF.7z
Payment Advice – Ref: [HSBC41057723] / RFQ Priority Payment Payment Advice – Ref HSBC41057723 PDF.7Z
RE: Surat Pesanan – RFQ PT.GLOBAL.PDF.rar
YOUR EMPLOYMENT STATUS DETAILS AND INVOICES 4.rar
Payment receipt status Payment_swift 20289820.pdf.gz
DHL AWB – Invoice & Shipping Documents DHL AWB – Invoice & Shipping Documents.gz
sales contract-876 & New-Order Executiveship PO 06042023.arj
Re:Top Urgent ORDER New Order-3790028747.img
Angebotsanfrage PO095657.zip
Re[5]: super wonderful images PRIVATE best-phot.gif.scr
beautiful pictures superimg.gif.scr
Re[5]: very cool pics wildpic.gif.pif
Re[4]: super nice images don’t show great_imgs.gif.exe
very wonderful photos only for you private-pctrs.jpg.scr
Re[2]: very cool pics greataction.gif.exe
sexy photos PRIVATE privatepic.jpg.scr
super sexy pics PRIVATE my-act.jpg.scr
Re[5]: very nice pictures very important best_images.jpg.scr
Re[3]: smart photo FOR YOU ONLY prv-pic.scr
super beautiful photo PRIVATE my-images.jpg.pif
nice photos private sexpctrs.pif
very nice photo sex__phot.jpg.pif
nice pics privatephot.gif.exe
Re[2]: nice picture imortant great_images.exe
smart pictures sexscene.exe
Re: super cool pics great_act.jpg.pif
very cool picture PRIVATE the_phot.gif.scr
wonderful photo mypctrs.jpg.pif
sexy images sexpic.jpg.pif
Re[3]: beautiful photo just for you best__pctrs.gif.pif
very cool pics don’t show the-plp.gif.exe
Re[2]: smart pictures privphotos.jpg.scr
Re: smart pics prvimgs.jpg.scr
sexy pics myscene.pif
smart images sexscene.scr
Re: very cool photos FOR YOU ONLY great-img.scr
sexy pictures private sexpctrs.exe
Re: cool picture imortant prv__img.gif.scr
Re[4]: sexy images privaction.exe
Re[2]: super smart pictures fuckpctrs.jpg.scr
Re: super nice images only for you great-pic.pif
Re: very nice photo fuckphotos.gif.exe
beautiful pictures very important sexaction.exe
ASEC 分析チームは上記の配布事例をもとに、ユーザーが注意しなければならないキーワードを選定した。キーワードがメールの件名に含まれていたり、同じような特徴がある場合、攻撃者が送信したフィッシングメールである可能性があるため、特に注意する必要がある。

注意するキーワード: 「PDF」     

今週の注意するキーワードは PDF である。今週は、メールの件名を発電所設備、特定会社のイベント広報物などに偽装し、PDF ファイルが添付されたフィッシングメールが拡散した。一般的な送り状、発注書のような内容ではなく、特定の発電所と整備に偽装しているのが特徴である。今回確認された PDF 添付ファイルのタイプのフィッシングメールの件名はそれぞれ異なるが、添付ファイル名と内容は非常に類似していた。添付ファイル名はアルファベット2文字の組み合わせで、PDF 閲覧時に確認できる内容は Microsoft Azure を偽装してユーザーの Open ボタンのクリックを誘導していた。ユーザーが Open ボタンをクリックすると、ID/PW 入力を要求し、ログインボタンをクリックすると、アカウント情報が攻撃者のフィッシングサーバーに流出する。それ以外にもユーザー PC に Qakbot マルウェアがダウンロードされる。関連した詳細情報は ASEC ブログ(https://asec.ahnlab.com/jp/51248/)で取り扱っている。

  • フィッシングアドレス : https[:]//rosatifragrances.co[.]zw/ei/ei.php

偽のページ(FakePage) C2 アドレス

偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。

  • http[:]//demo[.]double-eleven[.]hk/wordpress/wp-content/plugins/6f7ecdf697634e1181a754ea4ca0913f/y/mm/mmd/index/fedex/FedExpress[.]php
  • https[:]//newtrp[.]com/gbooonus/processor[.]php
  • https[:]//formspree[.]io/f/myyazkbv
  • https[:]//cranecenter[.]ru/Xx/cloudlog[.]php
  • https[:]//www[.]btdpipe1ine[.]com/oc/fdpxoGur23f[.]php
  • http[:]//www[.]znbs[.]co[.]zm/Uploads/Document/DHL/log[.]php
  • https[:]//formbold[.]com/s/91wBz
  • https[:]//chuyenphat[.]nascoexpress[.]com/wp-includes/noshaking/peeking[.]php
  • https[:]//instelator-center[.]co[.]il/isso[.]checkerz[.]php
  • http[:]//chikashikakehi[.]sakura[.]ne[.]jp/file/slot-gacor-maxwin/welcome[.]php
  • http[:]//mail[.]alicevik[.]com[.]tr//makechina/lognet1[.]php
  • https[:]//kazan-oil[.]ru/fidders/msms/vmxll[.]php
  • https[:]//jaslyimpex[.]com/catalog/44/A/Excel[.]php
  • https[:]//www[.]palazzocalo[.]com/cxHiEtx/Exc/Excell[.]php

フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。

  • 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
  • ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
  • 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
  • アンチウィルスをはじめとしたセキュリティ製品を利用する。

フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。

  • Phishing for Information(Reconnaissance, ID: T1598[1])
  • Phishing(Initial Access, ID: TI1566[2])
  • Internal Spearphishing(Lateral Movement, ID:T1534[3])

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments