ASEC 週間フィッシングメールの脅威トレンド (20230416 ~ 20230422)

AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年04月16日から04月22日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。

フィッシングメールの脅威タイプ

一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 52%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 2番目に多かったタイプは AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 20%)であった。その次に多かったタイプはバックドア(Backdoor, 11%)とワーム(Worm, 8%)マルウェアであった。その他にもダウンローダー(Downloader, 4%)、トロイの木馬(Trojan, 3%)、ドロッパー(Dropper, 2%)などが確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。

添付ファイルの拡張子

上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは RAR、ZIP、7Z、GZ などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。

配布事例

2023年04月16日から04月22日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。

事例: 偽のログインページ(FakePage)

メールの件名 添付ファイル
[FedEx Korea] 収入税納付期間案内(INV および AWB) [FedEx] Shippingdocs.htm
カスタマイズ型注文/価格修正 – QXT9401 SEJIN ORDER-23748909.shtml
✈DHL 貨物到着案内 [AWB#6704537800] AWB#6704537800.shtml
DHL Express 配送確認(インボイスおよび AWB) (DHL) Shippingdocs.htm
[FedEx] 関税納付案内(Tax Invoice) Shipping Document.html
個人情報確認 irene.hwang ****_アカウント_****.hwang.html
メールボックスがいっぱいです。 **_アカウント_******.choi.html
対処必要:保留中のメール **_アカウント_****.choi.html
[DHL] 配送注文が届きました – (INV and AWB) ShippingDHLDocument01.html
FedEx – AWB# Arrival Information. FedEx – AWB.html
Re: (題名なし) PO Order 2023.html
DHL Delivery Shipment Notification/Arrival DHL I-Sens Waybill Shipment.html
MT103 SWIFT COPY #17/04/2023 MT103_SWIFTCOPY20231704367.pdf
Due invoice and payment receipt. Paid Invoice PDF.html
Authorized payment !!! Payment Invoice pdf.html
Payroll Deduction Updates 2023 SecuredMessageATT.HTM
Re: New Order /PI WX22P0329 P0329-SPL ORDER.xls.htm
Sehr Geehrte Gewinner Notification.pdf
TT Remittance on April 19, 2023 at 07:30:56 PM. ®TT Remittance_000020242.htm
Re; order Shipping Document (1).html
EFT Payment-Invoice 0000315: Completed_ Please Review and Sign QuickBooks-Payments-Notification.pdf
Shipment Booking Confirmation – BL Draft is Ready for Review Doc_#20230419C985.Dhl.htm
TT COPY INVOerffv.shtml
Your package will be delivered today AWB_y7462.-FedEx-hndv-iue65hf-nmkcfg.htm
You have a new shipment waiting for you. Shipping-Document.shtm
Shipment Notification (TRACK EXPRESS) Track_ Express Shipping Docs.shtml
[FedEx] Import Tax Payment Deadline Information (INV and AWB) FedEx_AWB Original.html
非滥发电邮*1新帐单通知提醒 SF_express Invoice_2023.zip
PO-20-23//EMPRESA CHATITEC S.A.C PO#198945.html
Purchase Order P06846690 due 20/04/2023 Purchase Order P06846690.html
Your parcel has arrived urgent pick up needed today. AWB #8347630147.htm
***@********.co.kr sent you files via WeTransfer WeTransfer files***@*********.co.kr.Htm
RE: Urgent Purchase Order Wilmar Intl 0466 to ******.co.kr Purchase order.html
Please see and confirm our new purchase order (urgently needed) Urgent#Quotation.html
Re: Revised Invoice from ***** #Doc.Signed.html
[DHL Express] Import Tax Payment Deadline Information (INV and AWB) (DHL) Shippingdocs.html

事例: マルウェア(Infostealer、Downloader など)

メールの件名 添付ファイル
URGENT REQUEST FOR QUOTATION HUUG2336ED.Gz
Re: commission Payment copy payment3798637712pdf.7z
URGENT REQUEST FOR PRICE OFFER 0081099699 QUO-TKendab-0147-001.rar
Notificación de financiación de remesas. 213497664-030339-sanlccjavap0003-1.pdf.rar
PPT new design valve changes.arj
2023 *** Bay of the Future Graphics for *** – First Look *** Bay of the Future_Laundry *****.jpg
REMITTANCE TT COPY $23,150.00_20230320.pdf REMITTANCE TT COPY $23,150.00_20230320.pdf.gz
New Order – URGENT NEW PURCHASE ORDER #245 & 246 – April.zip
DHL Shipment Notification doc.docx
Fw: Remittance Advice 2023041907123719.pdf.gz
Re: holiday Booking_379016630212pdf.7z
Payment Advice – Advice Ref:[A1Whh5nhscQE] / Priority payment / Customer Ref:[SAP19-70] Payment_advise17042023.zip
Purchases Order // PO23100089 PO23100089.IMG
Quotation Quotation_2200001635.r09
RE: Invoice For Shipment / Departure Date 19-04-2023 Q1-4001028L.r09
shipment delivery address IMG_6038028301pdf.7z
Request For Quotation QUOTATION.zip
New order confirmation : need price IMG_50112_99012pdf.7z
PAYMENTS TRF_04.21.2023_9005453221298908786.gz
RFQ Quote *****_ORDER_001.7z
Pending DHL Shipment Notification REF: 19/4/2023 8:44:04 am. DHL.zip
RE: Revised EPDA for JAN & FEB DISCOUNTED SOA. EPDA for FEB & MARCH DISCOUNTED SOA.r00
RFQ – PO-1812-BNS0023 RFQ-PO-1812-BNS0023.r00
Transfer status on hold pending transaction.img
Revised Proforma Invoice (PI/002 – Dyna) : PO # 2302 for USD 39360.00 Giant Textilepr1a.pdf.rar
Re: Transfer Confirmation Imge00005.r09
Re: Order Order_ APRL 310377FIBA00541.arj
RE: Payment Advice – Advice Ref: [G80286894999] TT COPY.r15
Updated PO PO updated 19-04-23.zip
NEW PO – 5412093012 NEW PO ORDER – 5412093012 – April 2023.gz
T.HALK BANKASI A.S. 19.04.2023 Hesap Ekstresi Halkbank_Ekstre_20231904_073809_405251-PDF.tar
Re[5]: very cool photos only for you wild__images.gif.pif
beautiful photo myscene.jpg.pif
Re: wonderful photos only for you fuck_pctrs.jpg.scr
super sexy pictures don’t show super_act.gif.scr
Re[2]: beautiful photos privpic.gif.pif
super beautiful pics the_photos.jpg.scr
beautiful pics superimg.pif
sexy photos superpic.jpg.scr
beautiful photo very important sexplp.scr
Re[5]: nice images PRIVATE prv_images.gif.pif
Re: nice picture very important wild-phot.gif.scr
smart images superscene.scr
Re[3]: cool picture PRIVATE great-plp.jpg.exe
sexy picture myaction.exe
sexy pictures very important coolimgs.exe
wonderful photos very important privatepctrs.gif.exe
Re[3]: super nice images private prv_scene.gif.exe
Re[5]: sexy photo very important fuck-scene.scr
very wonderful photo FOR YOU ONLY cool__scene.gif.pif
smart picture sexpic.gif.scr
beautiful pics private seximg.gif.exe
wonderful images just for you sexphotos.jpg.pif

ASEC 分析チームは上記の配布事例をもとに、ユーザーが注意しなければならないキーワードを選定した。キーワードがメールの件名に含まれていたり、同じような特徴がある場合、攻撃者が送信したフィッシングメールである可能性があるため、特に注意する必要がある。

注意するキーワード: 「DHL & FedEx」     

今週の注意するキーワードは「DHL および FedEx」である。送信者が DHL と FedEx の運送業者に偽装していた今週のフィッシングメールでは、フィッシング HTML ファイルが添付されていた。このファイルをクリックすると、「This Document Is Shared Via Microsoft Excel Security & Requires Authentication.Click Ok To Continue」というメッセージボックスが表示され、Excel ログインページに偽装してユーザーの ID/PW 入力を要求する。ユーザーはメールの添付ファイル閲覧時、ファイル名を注意して見る必要があり、メールの件名と添付ファイルの関連があるか注意する必要がある。

  • フィッシングアドレス : hxxps[:]//test.novostroi21[.]ru/aomzq/fccn/xlss.php

偽のページ(FakePage) C2 アドレス

偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。

  • https[:]//formspree[.]io/f/myyazkbv
  • https[:]//test[.]novostroi21[.]ru/aomzq/fccn/xlss[.]php
  • https[:]//submit-form[.]com/fEU5zfZq
  • https[:]//zenkoren[.]itigo[.]jp//cgi-bin/FDX/fedex[.]php
  • http[:]//baltik-memorial[.]ru/wp-includes/Ex/Excel[.]php
  • https[:]//www[.]btdpipe1ine[.]com/ke/fdpxoGur23f[.]php
  • http[:]//ingitek[.]ru/bitrix/admin/csssg/xlss[.]php
  • https[:]//pallarsactiu[.]cat/team/resultbox1[.]php
  • https[:]//ecstatic-chandrasekhar[.]185-236-228-67[.]plesk[.]page/chkky/Adhl[.]php
  • https[:]//submaxillary-torque[.]000webhostapp[.]com/pdf[.]php
  • https[:]//constructedone[.]cf/chiel/dlpy[.]php
  • https[:]//test[.]novostroi21[.]ru/isreal/mae/xlss[.]php
  • https[:]//excellent[.]co[.]il/wp-contact/xtremsic/justgm[.]php
  • https[:]//trillion-thursday[.]000webhostapp[.]com/itgg/adbn[.]php

フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。

  • 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
  • ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
  • 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
  • アンチウィルスをはじめとしたセキュリティ製品を利用する。

フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。

  • Phishing for Information(Reconnaissance, ID: T1598[1])
  • Phishing(Initial Access, ID: TI1566[2])
  • Internal Spearphishing(Lateral Movement, ID:T1534[3])

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments