AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年04月09日から04月15日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 57%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 2番目に多かった脅威タイプは SmokeLoader、GuLoader のような Loader を含むダウンローダー(Downloader, 12%)であった。その次に多かったタイプは AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 9%)、そしてワーム(Worm, 9%)マルウェアと続いている。その他にもトロイの木馬(Trojan, 6%)、バックドア(Backdoor, 5%)、ドロッパー(Dropper, 1%)などが確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは RAR、ZIP、7Z、GZ などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。
配布事例
2023年04月09日から04月15日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| DHL ARRIVAL (CONTAINER) Seaport 収入通関情報提出案 – Proforma Invoice, Packing List & BL Copy | invoice & Tracking NumberHT2.html |
| FedEx 発送品到着通知 | AWB#989345874598.html |
| [FedEx] 関税納付案内(Tax Invoice) | Tax_Notification.html |
| PO912048302417 決済コピー | PI0437834 支払い確認.html |
| DHL Express 発送物確認 | CustomInvoice_8278124481.pdf.htm |
| Fw :BL / INV / PL 配送する | Shipping Document (1).html |
| FedEx Shipping Document / Invoice Receipt | INVOICE_AWB.htm |
| Incoming Shipment Invoice | AWB#03773N .htm |
| Updated quotation | qoutation order879999.shtml |
| Cigna HealthCare ACH Settlement: Please review and Sign | Healthcare-Claim-Notification.pdf |
| Shipment Booking Confirmation – BL Draft is Ready for Review – Original Scan copies of Document | Draft Bill of Lading__Shipping Document.htm |
| Overdue Balance Notice : TT_COPY_FOR_VNQ5160KTR-E_3000PCS | AWWDPAYMENT DETAILS.html |
| New DHL Shipment Document Arrival Notice / Shipping Documents / Original BL, Invoice & Packing List | (DHL) Original BL, PL, CI Copies.htm |
| FW: REVISED PO’S | SOA for 2023.shtml |
| DHL Shipping Document / Invoice Receipt | DHLShippingdocs.htm |
| EFT/ERA Cigna HealthCare ACH Payment: Completed_ Please Review and Sign | ACH-Deposit-Completed.pdf |
| PO#13012022N_ 新命令 | PO#13012022N.html |
| *** NOTIFICATION FOR INCOMING DHL SHIPMENT *** | DHL Express Notification.XLS.html |
| TRACK: EXPRESS (Shipment Notification) | DHL EXPRESS shipping docs.shtml |
| (Invoice) Original BL, PL, CI_AWB#71******90 | ****@**********.com DHL Express Notification.PDF.html |
| PO#28124758 | 28124758.htm |
| Shipment Notification (TRACK EXPRESS) | Track_ Express Shipping Docs.shtml |
| Statement of Account (SOA) Paid | Payment_Copy.PDF.html |
| DHL Express | DHLSHIPPINGDOCS.htm |
| Fwd: Past due balance SWIFT copy. | invoice_proforma2.html |
| SF Express: eNotification sent | eimDoc.html |
| INV Remittances 2nd request 711647666′ | INV-PAY0080388388.html |
| QUOTATION FOR MAY SHIPMENT | QUOTATIONS.pdf |
| FW:Payment 12 Apr 2023 | Wire Transfer confirmation.shtml |
| FYI SWIFT COPY FEDSD34455532536737DWES | FEDSD34455532536737DWES.html |
| Your parcel has arrived urgent pick up needed today. | AWB #8347630147.htm |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| 2023 韓美ポリシーフォーラム関連 | [添付] 略歴様式.doc |
| 返信:返信:[DHL] 収入申告受理内容書(受理前納付) – 1000452436 | Import declaration acceptance statement-1000452436.rar |
| Fwd: Quotation Invitation | Quotation Invitation 000111.pdf.GZ |
| Re: Adtours travel, inc | Booking_8986007pdf (1).7z |
| RE: BOOKING | Booking_8986007pdf.7z |
| Fwd: SNE-20210123 | SNE-20210123.rar |
| RFQ Bidding of 38D OBA project | RFQ Bidding of 38D OBA project.rar |
| FW: SWIFT Transfer REG:NO: SWFT7900896875 | SWFT7900896875.7Z |
| Our new order# F.94_100023010 | DOc 000399288299991.rar |
| PAYMENT REMINDER | PAYMENT REMINDERPDF.GZ |
| SOA | SOA.r01 |
| PTC-04-0-03643 / KMTCSHAK477267 | CZ3C126-2409.xls |
| NEW REQUIREMENT 10.04.2023 | REQUIREMENT100420230001001010.pdf.gz |
| Advice & SWIFT copy: CustID 52579XXXX_6031NMDC0002724_FORESTAL MIMOSA LIMITED | CustID 52579XXXX_6031NMDC0002724.PDF.zip |
| QUOTATION FOR MAY SHIPMENT | ORDER SPEC_pdf.7z |
| RE: [Inquiry] | Quote_3500001299.r09 |
| AW: PO-000001306 | PO-000001306.r09 |
| AW: SRY-510-9310 | SRY51093IO.IMG |
| Re: Bokings | Confirm!.rar |
| SUBJECT:Advice from Standard Chartered Bank | FTT 325272022023.img.tar |
| DHL Shipment Notification: AWB811470484778 | #AWB811470484778.rar |
| RE; Final Warning – Over Due Payment – Urgent Reminder!Final Warning – Over Due Payment – Urgent R…. | OUTSTANDING PAYMENT.IMG |
| ATTENTION | AMED.IMG |
| ARH2301433-MODERN SPARES AND EQUIPMENT 12.04.2023 | ARH PO # 2301433.pdf.7z |
| CV Lic. H&S Oli***ti ***** | curriculum vitae Lic. H&S Oli***ti *****.zip |
| FW: Autogenerated mail – Vendor Payment Advice | Payment_110280.JPEG.7z |
| REQUISITE ORDEN NUMBER: 8499009 | REQUIREMENT ORDER NO8499009.pdf.gz |
| RE: dubai shipments | Order_confirmation#982783.zip |
| [Adres dogrulanamadi (SPF:softfail)] SEHVEN YATAN TUTAR IADESI | IADESI.001 |
| Mart-2023 Ekstreniz | Ekstrenz.gz |
| swift mesaji hk | SWIFT.UUE |
| 11.04.2023 sevkiyat | SWIFT.001 |
| Fw: About The Payment | 20230412123719_TRF_MT 103.gz |
| NEW ORDER | PO-5418911023 and PO-5418911025.gz |
| sexy pictures very important | superscene.gif.scr |
| super sexy pictures don’t show | sex_img.gif.scr |
| Re: super beautiful pics private | best__pctrs.jpg.pif |
| sexy pics | coolact.pif |
| Re[5]: nice pictures | fuck-plp.gif.scr |
| Re[3]: very nice photos just for you | great-imgs.pif |
| Re[5]: very wonderful picture only for you | prvimg.jpg.pif |
| Re[5]: smart photos | bestpic.jpg.scr |
| Re[4]: very beautiful images don’t show | great-imgs.gif.pif |
| Re[2]: very sexy images | wild__pctrs.exe |
| super beautiful photo | private-phot.gif.pif |
| super sexy pictures | cool_pic.exe |
| beautiful photo very important | superimages.gif.pif |
| super sexy pics | cool_pic.pif |
| Re: very wonderful picture imortant | fuckscene.jpg.pif |
| wonderful pics | theimages.gif.exe |
| Re[5]: smart pictures | prvscene.pif |
| beautiful pictures | superpctrs.jpg.exe |
| Re: very cool pictures private | best-phot.scr |
| Re: super cool photos PRIVATE | best__phot.scr |
| very nice photos only for you | cool__pctrs.gif.exe |
注意するキーワード: 「収入通関」
今週の注意するキーワードは「収入通関」である。この週のフィッシングメールの配布元は「DHL ARRIVAL (CONTAINER) Seaport 収入通関情報提出案 – Proforma Invoice, Packing List & BL Copy」という名前でフィッシングメールを拡散させた。フィッシングメールの送信者は、DHL 配送業者を装っており、実際の内部の添付ファイルはメールの件名とは関係ない「Invoice & Track」(送り状 & 追跡)といった単語で始まるフィッシング HTML ファイルである。このファイルをクリックすると、DHL 配送業者に偽装したページが実行され、通関情報を照会するためにユーザーの ID/PW を入力するように要求する。ユーザーはメールの添付ファイル閲覧時、ファイル名を注意して見る必要があり、メールの件名と添付ファイルの関連があるか注意して見る必要がある。
- フィッシングアドレス : hxxps[:]//formcarry[.]com/s/HGNnWjQ9O0
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- https[:]//formspree[.]io/f/myyazkbv
- https[:]//vigilant-rubin[.]185-236-228-67[.]plesk[.]page/jh/Adhl[.]php
- http[:]//ingitek[.]ru/bitrix/admin/csss/tt/xlss[.]php
- http[:]//usxcheap[.]us/GS9/access1[.]php
- https[:]//submit-form[.]com/riYXPwjH
- https[:]//realmebel[.]pro/dh/dlh[.]php
- http[:]//ingitek[.]ru/bitrix/admin/csss/tt/xlss[.]php
- https[:]//formspree[.]io/f/myyazkbv
- https[:]//submit-form[.]com/qt7uUYP3
- https[:]//submit-form[.]com/IsP9wxLh
- https[:]//ecstatic-chandrasekhar[.]185-236-228-67[.]plesk[.]page/chkky/Adhl[.]php
- https[:]//www[.]mkcrop-kr[.]com/si/fdpxoGur23f[.]php
- https[:]//submit-form[.]com/MC3ozIXM
- https[:]//ecstatic-chandrasekhar[.]185-236-228-67[.]plesk[.]page/chkky/Adhl[.]php
- https[:]//submit-form[.]com/kVlBCzwE
- https[:]//formspree[.]io/f/myyazkbv
- https[:]//www[.]btdpipe1ine[.]com/ke/fdpxoGur23f[.]php
- https[:]//cranecenter[.]ru/X/processor1[.]php
- https[:]//app[.]headlessforms[.]cloud/api/v1/form-submission/nQwc1kUGvU
- https[:]//formcarry[.]com/s/HGNnWjQ9O0
- https[:]//test[.]novostroi21[.]ru/killer/xlss[.]php
- https[:]//www[.]nsggroup[.]it/,/tw/postdhll[.]php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計