Posted By ASEC , 2023年 April 18日

ASEC 週間フィッシングメールの脅威トレンド (20230402 ~ 20230408)

AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年04月02日から04月08日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。

フィッシングメールの脅威タイプ

一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 47%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 2番目に多かった脅威タイプは SmokeLoader、GuLoader のような Loader を含むダウンローダー(Downloader, 18%)であった。その次に多かったタイプはワーム(Worm, 15%)であった。続いて AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 10%)であった。その他にもトロイの木馬(Trojan, 5%)、ドロッパー(Dropper, 5%)などが確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。

添付ファイルの拡張子

上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは ZIP、7Z、GZ などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。

配布事例

2023年04月02日から04月08日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。

事例: 偽のログインページ(FakePage)

メールの件名	添付ファイル
RE: [**] 1,2号機 EDM 諮問関連 APCFS 学会ポスター発表資料	NM.pdf
あなたのメールへのアクセスが制限されます確認失敗	fi*ce@*******.co.kr Update-2023.htm
RE: **** 7,8号機脱窒設備性能改善見積依頼	MI.pdf
返信：[**] 脱硫設備パイプラック *社配管 Inform.送付および反映の件	IR.pdf
FWD: [DHL] 収入税金納付締め切りのご案内 – (INV and AWB)	Original Shipping Doc#GM53726192.pdf.htm
ネ** ク* すべてのキーワードです	KTX.pdf
FW: 発注書添付。	PO20230403.html
[外部]FW: [******] 提供サービス申請顧客イベント検討要請	RA.pdf
ユーザーメール連携解除	******.@*******.co.kr Update-2023.htm
FW: 2019年1月保安の日コンテンツの共有	UT.pdf
[外部]FW: [] 経歴証明書&懲戒確認書発給要請(*)	EN.pdf
RE: RE: RE: RE: **) 1, 2号機 EDM 指紋関連表面 SEM 測定写真	CT.pdf
SRPI Project 見積依頼	Specfication for SRPI Project.htm
Quotation QUO91019	Quote.html
AIR WAY BILL – INVOICE AND PACKING LIST	AWB#.SHTML
New DHL Shipment Document Arrival Notice / Shipping Documents / Original BL, Invoice & Packing List	(DHL) Original BL, PL, CI Copies.htm
DHL Express	DHLSHIPPINGDOCS.htm
FedEx Shipment 811470484778: Parcel Scheduled For Delivery	Shipping Document.html
R: New offer request	scan001.htm
A Recent Charge on your Card was Unsuccessful	Account_Security _Message.htm
New DHL Shipment Document Arrival Notice: Shipping Documents, Original BL, Invoice & Packing List.	Tracking.html
THIS PURCHASE ORDER IS VRY URGENTLY NEEDED AND (TREAT IMPORTANT)	important#order.html
ACH Payment sent On: Monday, April 3, 2023 12:51 p.m.	Swift_Payment_Confirmation.pdf.shtml
Financial Statement /acc**ing@a*******.co.kr	Financial Statement.shtml
【132nd Canton Fair】	b**gu@*..kr.htm
New Order	PO54324567.htm
PO#28124758	28124758.htm
*@*******.co.kr sent you files via WeTransfer	WeTransfer files_***ne@*******.co.kr.Htm
Re: ******.park You Have 1 New Shared Document	Truefriend_PAYMENT_CONTRACT.pdf
ACH Payment sent On:Thursday, April 6, 2023 1:43:27 PM	h*m@*******.com Voutcher.shtml
RE: IBK SWIFT PAYMENT COPY	IBKPaymentSwiftApproval.html
Purchase Order PO-3242 from VP Group Limited for sjlee	PO-3242.html
ACH Payment sent On:Thursday, April 6, 2023 3:20:47 PM	s*m@*******.com Voutcher.shtml
Re:Re:Re: Quotation order	New_Order Inquiry.Htm
Re : invoice for MARCH 2023	REVISED INVOICE.shtml
Payment Transaction Notification : Success	optical PAYMENT ADVICE-US$ 168,573.htm
COMMERCIAL OFFER	COMMERCIAL OFFER.html
Your grant donation – {Mrs Jacquelline Fuller}	Donation Application.docx

事例: マルウェア(Infostealer、Downloader など)

メールの件名	添付ファイル
未決済口座明細書を開く	口座明細書を開く.PDF.jar
Attachment	NEW ENQUIRY-pdf.gz
Re: Re: Return invoice for Payment	Return invoice.rar
Pedido	Pedido040323.rar
[DHL] 収入申告受理内容書(受理前納付) – 7759303436	[DHL] 7759303436.rar
Your Shipment has Arrived Tracking Number!	Protected Copy Doc 099876858.rar
PO#40823-LiDe Industry Group Co Limited	PO#40823.rar
Request for quotation – lpr no. 8661	RDA 8661 SEBASTIANO.rar
RE: RFQ-08-057-SAFETY SHOWER UNIT WITH COOLING SYSTEM	RFQ-08-057.rar
NEW ORDER PO # IF23029361209	PO # IF23029361209.rar
RE: COSTCO Purchase Order #180222/CT24 & #160222/CT71	COSTCO Purchase Order.rar
PURCHASE ORDER 163403	Drawings.gz
Re: Fw: Payment for Outstanding Invoice	INV19384783.html
Fw: PAYMENTS	20230406161956432901.zip
World Surfaris Remittance	balance$600,000.65-pdf.gz
Product Enquiry	SKM51092BY210.IMG
PO NO. 42236592	PO#NO42236592000010.pdf.ARJ
WE WISH TO BUY THESE PRODUCTS	Product Listed.exe
SOA MARCH 2023	SOA.xls
PAGO	JUSTIFICANTE DE PAGO.rar
Request from Octopus Asia Pacific	SKMB710925U10.xz
SumiP Machine equipment Inquiry	SUMIP MACHINE EQUIPMENT INQURIY.rar
Re[3]: super smart pics private	best_img.jpg.scr
Order List	Order-List.iso
Re: Document PO4377J7P	Document 54737.7z
Fwd: Re: Advanced Payment Confirmation	Advanced Payment – Ref_001299384596OBR11522.gz
KCI – Statement of Account – 30th march 2023	statement for HADCO S.A.O.C.exe
Purchase Order PO GEC/PO/18667 for EHAF – KSA supply Project	PDF1567256210241910840.r01
Deposit made to your account	Deposit slip.exe
FW:New PO#SPL036570 + RFQ036647	New PO#SPL036570.pdf.GZ
Technical Datasheet	Technical_ Datasheet.7z
Re: Price Qoutation Request	RFQ 2008817838749.PDF.Z
Request for Quote	Request for Quote.PDF.7z
Payment Advice – Ref: [HSBC41057723] / RFQ Priority Payment	Payment Advice – Ref HSBC41057723 PDF.7Z
RE: Surat Pesanan – RFQ	PT.GLOBAL.PDF.rar
YOUR EMPLOYMENT STATUS	DETAILS AND INVOICES 4.rar
Payment receipt status	Payment_swift 20289820.pdf.gz
DHL AWB – Invoice & Shipping Documents	DHL AWB – Invoice & Shipping Documents.gz
sales contract-876 & New-Order	Executiveship PO 06042023.arj
Re:Top Urgent ORDER	New Order-3790028747.img
Angebotsanfrage	PO095657.zip
Re[5]: super wonderful images PRIVATE	best-phot.gif.scr
beautiful pictures	superimg.gif.scr
Re[5]: very cool pics	wildpic.gif.pif
Re[4]: super nice images don’t show	great_imgs.gif.exe
very wonderful photos only for you	private-pctrs.jpg.scr
Re[2]: very cool pics	greataction.gif.exe
sexy photos PRIVATE	privatepic.jpg.scr
super sexy pics PRIVATE	my-act.jpg.scr
Re[5]: very nice pictures very important	best_images.jpg.scr
Re[3]: smart photo FOR YOU ONLY	prv-pic.scr
super beautiful photo PRIVATE	my-images.jpg.pif
nice photos private	sexpctrs.pif
very nice photo	sex__phot.jpg.pif
nice pics	privatephot.gif.exe
Re[2]: nice picture imortant	great_images.exe
smart pictures	sexscene.exe
Re: super cool pics	great_act.jpg.pif
very cool picture PRIVATE	the_phot.gif.scr
wonderful photo	mypctrs.jpg.pif
sexy images	sexpic.jpg.pif
Re[3]: beautiful photo just for you	best__pctrs.gif.pif
very cool pics don’t show	the-plp.gif.exe
Re[2]: smart pictures	privphotos.jpg.scr
Re: smart pics	prvimgs.jpg.scr
sexy pics	myscene.pif
smart images	sexscene.scr
Re: very cool photos FOR YOU ONLY	great-img.scr
sexy pictures private	sexpctrs.exe
Re: cool picture imortant	prv__img.gif.scr
Re[4]: sexy images	privaction.exe
Re[2]: super smart pictures	fuckpctrs.jpg.scr
Re: super nice images only for you	great-pic.pif
Re: very nice photo	fuckphotos.gif.exe
beautiful pictures very important	sexaction.exe

ASEC 分析チームは上記の配布事例をもとに、ユーザーが注意しなければならないキーワードを選定した。キーワードがメールの件名に含まれていたり、同じような特徴がある場合、攻撃者が送信したフィッシングメールである可能性があるため、特に注意する必要がある。

注意するキーワード: 「PDF」

今週の注意するキーワードは PDF である。今週は、メールの件名を発電所設備、特定会社のイベント広報物などに偽装し、PDF ファイルが添付されたフィッシングメールが拡散した。一般的な送り状、発注書のような内容ではなく、特定の発電所と整備に偽装しているのが特徴である。今回確認された PDF 添付ファイルのタイプのフィッシングメールの件名はそれぞれ異なるが、添付ファイル名と内容は非常に類似していた。添付ファイル名はアルファベット2文字の組み合わせで、PDF 閲覧時に確認できる内容は Microsoft Azure を偽装してユーザーの Open ボタンのクリックを誘導していた。ユーザーが Open ボタンをクリックすると、ID/PW 入力を要求し、ログインボタンをクリックすると、アカウント情報が攻撃者のフィッシングサーバーに流出する。それ以外にもユーザー PC に Qakbot マルウェアがダウンロードされる。関連した詳細情報は ASEC ブログ(https://asec.ahnlab.com/jp/51248/)で取り扱っている。

フィッシングアドレス : https[:]//rosatifragrances.co[.]zw/ei/ei.php

偽のページ(FakePage) C2 アドレス

偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。

http[:]//demo[.]double-eleven[.]hk/wordpress/wp-content/plugins/6f7ecdf697634e1181a754ea4ca0913f/y/mm/mmd/index/fedex/FedExpress[.]php
https[:]//newtrp[.]com/gbooonus/processor[.]php
https[:]//formspree[.]io/f/myyazkbv
https[:]//cranecenter[.]ru/Xx/cloudlog[.]php
https[:]//www[.]btdpipe1ine[.]com/oc/fdpxoGur23f[.]php
http[:]//www[.]znbs[.]co[.]zm/Uploads/Document/DHL/log[.]php
https[:]//formbold[.]com/s/91wBz
https[:]//chuyenphat[.]nascoexpress[.]com/wp-includes/noshaking/peeking[.]php
https[:]//instelator-center[.]co[.]il/isso[.]checkerz[.]php
http[:]//chikashikakehi[.]sakura[.]ne[.]jp/file/slot-gacor-maxwin/welcome[.]php
http[:]//mail[.]alicevik[.]com[.]tr//makechina/lognet1[.]php
https[:]//kazan-oil[.]ru/fidders/msms/vmxll[.]php
https[:]//jaslyimpex[.]com/catalog/44/A/Excel[.]php
https[:]//www[.]palazzocalo[.]com/cxHiEtx/Exc/Excell[.]php

フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。

確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
アンチウィルスをはじめとしたセキュリティ製品を利用する。

フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。

Phishing for Information(Reconnaissance, ID: T1598^[1])
Phishing(Initial Access, ID: TI1566^[2])
Internal Spearphishing(Lateral Movement, ID:T1534^[3])

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

Tagged as:フィッシング電子メール,電子メールフィッシング