AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年04月02日から04月08日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 47%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 2番目に多かった脅威タイプは SmokeLoader、GuLoader のような Loader を含むダウンローダー(Downloader, 18%)であった。その次に多かったタイプはワーム(Worm, 15%)であった。続いて AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 10%)であった。その他にもトロイの木馬(Trojan, 5%)、ドロッパー(Dropper, 5%)などが確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは ZIP、7Z、GZ などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。
配布事例
2023年04月02日から04月08日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
メールの件名 | 添付ファイル |
RE: [****] ** 1,2号機 EDM 諮問関連 APCFS 学会ポスター発表資料 | NM.pdf |
あなたのメールへのアクセスが制限されます確認失敗 | fi***ce@*********.co.kr Update-2023.htm |
RE: **** 7,8号機脱窒設備性能改善見積依頼 | MI.pdf |
返信:[****] 脱硫設備パイプラック ***社配管 Inform.送付および反映の件 | IR.pdf |
FWD: [DHL] 収入税金納付締め切りのご案内 – (INV and AWB) | Original Shipping Doc#GM53726192.pdf.htm |
ネ** ク* すべてのキーワードです | KTX.pdf |
FW: 発注書添付。 | PO20230403.html |
[外部]FW: [******] 提供サービス申請顧客イベント検討要請 | RA.pdf |
ユーザーメール連携解除 | ********.****@*********.co.kr Update-2023.htm |
FW: 2019年1月保安の日コンテンツの共有 | UT.pdf |
[外部]FW: [**] 経歴証明書&懲戒確認書発給要請(***) | EN.pdf |
RE: RE: RE: RE: ****) ** 1, 2号機 EDM 指紋関連表面 SEM 測定写真 | CT.pdf |
SRPI Project 見積依頼 | Specfication for SRPI Project.htm |
Quotation QUO91019 | Quote.html |
AIR WAY BILL – INVOICE AND PACKING LIST | AWB#.SHTML |
New DHL Shipment Document Arrival Notice / Shipping Documents / Original BL, Invoice & Packing List | (DHL) Original BL, PL, CI Copies.htm |
DHL Express | DHLSHIPPINGDOCS.htm |
FedEx Shipment 811470484778: Parcel Scheduled For Delivery | Shipping Document.html |
R: New offer request | scan001.htm |
A Recent Charge on your Card was Unsuccessful | Account_Security _Message.htm |
New DHL Shipment Document Arrival Notice: Shipping Documents, Original BL, Invoice & Packing List. | Tracking.html |
THIS PURCHASE ORDER IS VRY URGENTLY NEEDED AND (TREAT IMPORTANT) | important#order.html |
ACH Payment sent On: Monday, April 3, 2023 12:51 p.m. | Swift_Payment_Confirmation.pdf.shtml |
Financial Statement /acc****ing@a*********.co.kr | Financial Statement.shtml |
【132nd Canton Fair】 | b****gu@*****.**.kr.htm |
New Order | PO54324567.htm |
PO#28124758 | 28124758.htm |
***@*********.co.kr sent you files via WeTransfer | WeTransfer files_*****ne@*********.co.kr.Htm |
Re: ******.park You Have 1 New Shared Document | Truefriend_PAYMENT_CONTRACT.pdf |
ACH Payment sent On:Thursday, April 6, 2023 1:43:27 PM | h***m@*********.com Voutcher.shtml |
RE: IBK SWIFT PAYMENT COPY | IBKPaymentSwiftApproval.html |
Purchase Order PO-3242 from VP Group Limited for sjlee | PO-3242.html |
ACH Payment sent On:Thursday, April 6, 2023 3:20:47 PM | s***m@*********.com Voutcher.shtml |
Re:Re:Re: Quotation order | New_Order Inquiry.Htm |
Re : invoice for MARCH 2023 | REVISED INVOICE.shtml |
Payment Transaction Notification : Success | optical PAYMENT ADVICE-US$ 168,573.htm |
COMMERCIAL OFFER | COMMERCIAL OFFER.html |
Your grant donation – {Mrs Jacquelline Fuller} | Donation Application.docx |
事例: マルウェア(Infostealer、Downloader など)
メールの件名 | 添付ファイル |
未決済口座明細書を開く | 口座明細書を開く.PDF.jar |
Attachment | NEW ENQUIRY-pdf.gz |
Re: Re: Return invoice for Payment | Return invoice.rar |
Pedido | Pedido040323.rar |
[DHL] 収入申告受理内容書(受理前納付) – 7759303436 | [DHL] 7759303436.rar |
Your Shipment has Arrived Tracking Number! | Protected Copy Doc 099876858.rar |
PO#40823-LiDe Industry Group Co Limited | PO#40823.rar |
Request for quotation – lpr no. 8661 | RDA 8661 SEBASTIANO.rar |
RE: RFQ-08-057-SAFETY SHOWER UNIT WITH COOLING SYSTEM | RFQ-08-057.rar |
NEW ORDER PO # IF23029361209 | PO # IF23029361209.rar |
RE: COSTCO Purchase Order #180222/CT24 & #160222/CT71 | COSTCO Purchase Order.rar |
PURCHASE ORDER 163403 | Drawings.gz |
Re: Fw: Payment for Outstanding Invoice | INV19384783.html |
Fw: PAYMENTS | 20230406161956432901.zip |
World Surfaris Remittance | balance$600,000.65-pdf.gz |
Product Enquiry | SKM51092BY210.IMG |
PO NO. 42236592 | PO#NO42236592000010.pdf.ARJ |
WE WISH TO BUY THESE PRODUCTS | Product Listed.exe |
SOA MARCH 2023 | SOA.xls |
PAGO | JUSTIFICANTE DE PAGO.rar |
Request from Octopus Asia Pacific | SKMB710925U10.xz |
SumiP Machine equipment Inquiry | SUMIP MACHINE EQUIPMENT INQURIY.rar |
Re[3]: super smart pics private | best_img.jpg.scr |
Order List | Order-List.iso |
Re: Document PO4377J7P | Document 54737.7z |
Fwd: Re: Advanced Payment Confirmation | Advanced Payment – Ref_001299384596OBR11522.gz |
KCI – Statement of Account – 30th march 2023 | statement for HADCO S.A.O.C.exe |
Purchase Order PO GEC/PO/18667 for EHAF – KSA supply Project | PDF1567256210241910840.r01 |
Deposit made to your account | Deposit slip.exe |
FW:New PO#SPL036570 + RFQ036647 | New PO#SPL036570.pdf.GZ |
Technical Datasheet | Technical_ Datasheet.7z |
Re: Price Qoutation Request | RFQ 2008817838749.PDF.Z |
Request for Quote | Request for Quote.PDF.7z |
Payment Advice – Ref: [HSBC41057723] / RFQ Priority Payment | Payment Advice – Ref HSBC41057723 PDF.7Z |
RE: Surat Pesanan – RFQ | PT.GLOBAL.PDF.rar |
YOUR EMPLOYMENT STATUS | DETAILS AND INVOICES 4.rar |
Payment receipt status | Payment_swift 20289820.pdf.gz |
DHL AWB – Invoice & Shipping Documents | DHL AWB – Invoice & Shipping Documents.gz |
sales contract-876 & New-Order | Executiveship PO 06042023.arj |
Re:Top Urgent ORDER | New Order-3790028747.img |
Angebotsanfrage | PO095657.zip |
Re[5]: super wonderful images PRIVATE | best-phot.gif.scr |
beautiful pictures | superimg.gif.scr |
Re[5]: very cool pics | wildpic.gif.pif |
Re[4]: super nice images don’t show | great_imgs.gif.exe |
very wonderful photos only for you | private-pctrs.jpg.scr |
Re[2]: very cool pics | greataction.gif.exe |
sexy photos PRIVATE | privatepic.jpg.scr |
super sexy pics PRIVATE | my-act.jpg.scr |
Re[5]: very nice pictures very important | best_images.jpg.scr |
Re[3]: smart photo FOR YOU ONLY | prv-pic.scr |
super beautiful photo PRIVATE | my-images.jpg.pif |
nice photos private | sexpctrs.pif |
very nice photo | sex__phot.jpg.pif |
nice pics | privatephot.gif.exe |
Re[2]: nice picture imortant | great_images.exe |
smart pictures | sexscene.exe |
Re: super cool pics | great_act.jpg.pif |
very cool picture PRIVATE | the_phot.gif.scr |
wonderful photo | mypctrs.jpg.pif |
sexy images | sexpic.jpg.pif |
Re[3]: beautiful photo just for you | best__pctrs.gif.pif |
very cool pics don’t show | the-plp.gif.exe |
Re[2]: smart pictures | privphotos.jpg.scr |
Re: smart pics | prvimgs.jpg.scr |
sexy pics | myscene.pif |
smart images | sexscene.scr |
Re: very cool photos FOR YOU ONLY | great-img.scr |
sexy pictures private | sexpctrs.exe |
Re: cool picture imortant | prv__img.gif.scr |
Re[4]: sexy images | privaction.exe |
Re[2]: super smart pictures | fuckpctrs.jpg.scr |
Re: super nice images only for you | great-pic.pif |
Re: very nice photo | fuckphotos.gif.exe |
beautiful pictures very important | sexaction.exe |
注意するキーワード: 「PDF」
今週の注意するキーワードは PDF である。今週は、メールの件名を発電所設備、特定会社のイベント広報物などに偽装し、PDF ファイルが添付されたフィッシングメールが拡散した。一般的な送り状、発注書のような内容ではなく、特定の発電所と整備に偽装しているのが特徴である。今回確認された PDF 添付ファイルのタイプのフィッシングメールの件名はそれぞれ異なるが、添付ファイル名と内容は非常に類似していた。添付ファイル名はアルファベット2文字の組み合わせで、PDF 閲覧時に確認できる内容は Microsoft Azure を偽装してユーザーの Open ボタンのクリックを誘導していた。ユーザーが Open ボタンをクリックすると、ID/PW 入力を要求し、ログインボタンをクリックすると、アカウント情報が攻撃者のフィッシングサーバーに流出する。それ以外にもユーザー PC に Qakbot マルウェアがダウンロードされる。関連した詳細情報は ASEC ブログ(https://asec.ahnlab.com/jp/51248/)で取り扱っている。
- フィッシングアドレス : https[:]//rosatifragrances.co[.]zw/ei/ei.php
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- http[:]//demo[.]double-eleven[.]hk/wordpress/wp-content/plugins/6f7ecdf697634e1181a754ea4ca0913f/y/mm/mmd/index/fedex/FedExpress[.]php
- https[:]//newtrp[.]com/gbooonus/processor[.]php
- https[:]//formspree[.]io/f/myyazkbv
- https[:]//cranecenter[.]ru/Xx/cloudlog[.]php
- https[:]//www[.]btdpipe1ine[.]com/oc/fdpxoGur23f[.]php
- http[:]//www[.]znbs[.]co[.]zm/Uploads/Document/DHL/log[.]php
- https[:]//formbold[.]com/s/91wBz
- https[:]//chuyenphat[.]nascoexpress[.]com/wp-includes/noshaking/peeking[.]php
- https[:]//instelator-center[.]co[.]il/isso[.]checkerz[.]php
- http[:]//chikashikakehi[.]sakura[.]ne[.]jp/file/slot-gacor-maxwin/welcome[.]php
- http[:]//mail[.]alicevik[.]com[.]tr//makechina/lognet1[.]php
- https[:]//kazan-oil[.]ru/fidders/msms/vmxll[.]php
- https[:]//jaslyimpex[.]com/catalog/44/A/Excel[.]php
- https[:]//www[.]palazzocalo[.]com/cxHiEtx/Exc/Excell[.]php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計