AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年04月16日から04月22日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 52%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 2番目に多かったタイプは AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 20%)であった。その次に多かったタイプはバックドア(Backdoor, 11%)とワーム(Worm, 8%)マルウェアであった。その他にもダウンローダー(Downloader, 4%)、トロイの木馬(Trojan, 3%)、ドロッパー(Dropper, 2%)などが確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは RAR、ZIP、7Z、GZ などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。
配布事例
2023年04月16日から04月22日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| [FedEx Korea] 収入税納付期間案内(INV および AWB) | [FedEx] Shippingdocs.htm |
| カスタマイズ型注文/価格修正 – QXT9401 | SEJIN ORDER-23748909.shtml |
 DHL 貨物到着案内 [AWB#6704537800] |
AWB#6704537800.shtml |
| DHL Express 配送確認(インボイスおよび AWB) | (DHL) Shippingdocs.htm |
| [FedEx] 関税納付案内(Tax Invoice) | Shipping Document.html |
| 個人情報確認 irene.hwang | ****_アカウント_****.hwang.html |
| メールボックスがいっぱいです。 | **_アカウント_******.choi.html |
| 対処必要:保留中のメール | **_アカウント_****.choi.html |
| [DHL] 配送注文が届きました – (INV and AWB) | ShippingDHLDocument01.html |
| FedEx – AWB# Arrival Information. | FedEx – AWB.html |
| Re: (題名なし) | PO Order 2023.html |
| DHL Delivery Shipment Notification/Arrival | DHL I-Sens Waybill Shipment.html |
| MT103 SWIFT COPY #17/04/2023 | MT103_SWIFTCOPY20231704367.pdf |
| Due invoice and payment receipt. | Paid Invoice PDF.html |
| Authorized payment !!! | Payment Invoice pdf.html |
| Payroll Deduction Updates 2023 | SecuredMessageATT.HTM |
| Re: New Order /PI WX22P0329 | P0329-SPL ORDER.xls.htm |
| Sehr Geehrte Gewinner | Notification.pdf |
| TT Remittance on April 19, 2023 at 07:30:56 PM. | ®TT Remittance_000020242.htm |
| Re; order | Shipping Document (1).html |
| EFT Payment-Invoice 0000315: Completed_ Please Review and Sign | QuickBooks-Payments-Notification.pdf |
| Shipment Booking Confirmation – BL Draft is Ready for Review | Doc_#20230419C985.Dhl.htm |
| TT COPY | INVOerffv.shtml |
| Your package will be delivered today | AWB_y7462.-FedEx-hndv-iue65hf-nmkcfg.htm |
| You have a new shipment waiting for you. | Shipping-Document.shtm |
| Shipment Notification (TRACK EXPRESS) | Track_ Express Shipping Docs.shtml |
| [FedEx] Import Tax Payment Deadline Information (INV and AWB) | FedEx_AWB Original.html |
| 非滥发电邮*1新帐单通知提醒 | SF_express Invoice_2023.zip |
| PO-20-23//EMPRESA CHATITEC S.A.C | PO#198945.html |
| Purchase Order P06846690 due 20/04/2023 | Purchase Order P06846690.html |
| Your parcel has arrived urgent pick up needed today. | AWB #8347630147.htm |
| ***@********.co.kr sent you files via WeTransfer | WeTransfer files***@*********.co.kr.Htm |
| RE: Urgent Purchase Order Wilmar Intl 0466 to ******.co.kr | Purchase order.html |
| Please see and confirm our new purchase order (urgently needed) | Urgent#Quotation.html |
| Re: Revised Invoice from ***** | #Doc.Signed.html |
| [DHL Express] Import Tax Payment Deadline Information (INV and AWB) | (DHL) Shippingdocs.html |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| URGENT REQUEST FOR QUOTATION | HUUG2336ED.Gz |
| Re: commission Payment copy | payment3798637712pdf.7z |
| URGENT REQUEST FOR PRICE OFFER 0081099699 | QUO-TKendab-0147-001.rar |
| Notificación de financiación de remesas. | 213497664-030339-sanlccjavap0003-1.pdf.rar |
| PPT new design | valve changes.arj |
| 2023 *** Bay of the Future Graphics for *** – First Look | *** Bay of the Future_Laundry *****.jpg |
| REMITTANCE TT COPY $23,150.00_20230320.pdf | REMITTANCE TT COPY $23,150.00_20230320.pdf.gz |
| New Order – URGENT | NEW PURCHASE ORDER #245 & 246 – April.zip |
| DHL Shipment Notification | doc.docx |
| Fw: Remittance Advice | 2023041907123719.pdf.gz |
| Re: holiday | Booking_379016630212pdf.7z |
| Payment Advice – Advice Ref:[A1Whh5nhscQE] / Priority payment / Customer Ref:[SAP19-70] | Payment_advise17042023.zip |
| Purchases Order // PO23100089 | PO23100089.IMG |
| Quotation | Quotation_2200001635.r09 |
| RE: Invoice For Shipment / Departure Date 19-04-2023 | Q1-4001028L.r09 |
| shipment delivery address | IMG_6038028301pdf.7z |
| Request For Quotation | QUOTATION.zip |
| New order confirmation : need price | IMG_50112_99012pdf.7z |
| PAYMENTS | TRF_04.21.2023_9005453221298908786.gz |
| RFQ Quote | *****_ORDER_001.7z |
| Pending DHL Shipment Notification REF: 19/4/2023 8:44:04 am. | DHL.zip |
| RE: Revised EPDA for JAN & FEB DISCOUNTED SOA. | EPDA for FEB & MARCH DISCOUNTED SOA.r00 |
| RFQ – PO-1812-BNS0023 | RFQ-PO-1812-BNS0023.r00 |
| Transfer status on hold | pending transaction.img |
| Revised Proforma Invoice (PI/002 – Dyna) : PO # 2302 for USD 39360.00 | Giant Textilepr1a.pdf.rar |
| Re: Transfer Confirmation | Imge00005.r09 |
| Re: Order | Order_ APRL 310377FIBA00541.arj |
| RE: Payment Advice – Advice Ref: [G80286894999] | TT COPY.r15 |
| Updated PO | PO updated 19-04-23.zip |
| NEW PO – 5412093012 | NEW PO ORDER – 5412093012 – April 2023.gz |
| T.HALK BANKASI A.S. 19.04.2023 Hesap Ekstresi | Halkbank_Ekstre_20231904_073809_405251-PDF.tar |
| Re[5]: very cool photos only for you | wild__images.gif.pif |
| beautiful photo | myscene.jpg.pif |
| Re: wonderful photos only for you | fuck_pctrs.jpg.scr |
| super sexy pictures don’t show | super_act.gif.scr |
| Re[2]: beautiful photos | privpic.gif.pif |
| super beautiful pics | the_photos.jpg.scr |
| beautiful pics | superimg.pif |
| sexy photos | superpic.jpg.scr |
| beautiful photo very important | sexplp.scr |
| Re[5]: nice images PRIVATE | prv_images.gif.pif |
| Re: nice picture very important | wild-phot.gif.scr |
| smart images | superscene.scr |
| Re[3]: cool picture PRIVATE | great-plp.jpg.exe |
| sexy picture | myaction.exe |
| sexy pictures very important | coolimgs.exe |
| wonderful photos very important | privatepctrs.gif.exe |
| Re[3]: super nice images private | prv_scene.gif.exe |
| Re[5]: sexy photo very important | fuck-scene.scr |
| very wonderful photo FOR YOU ONLY | cool__scene.gif.pif |
| smart picture | sexpic.gif.scr |
| beautiful pics private | seximg.gif.exe |
| wonderful images just for you | sexphotos.jpg.pif |
ASEC 分析チームは上記の配布事例をもとに、ユーザーが注意しなければならないキーワードを選定した。キーワードがメールの件名に含まれていたり、同じような特徴がある場合、攻撃者が送信したフィッシングメールである可能性があるため、特に注意する必要がある。
注意するキーワード: 「DHL & FedEx」
今週の注意するキーワードは「DHL および FedEx」である。送信者が DHL と FedEx の運送業者に偽装していた今週のフィッシングメールでは、フィッシング HTML ファイルが添付されていた。このファイルをクリックすると、「This Document Is Shared Via Microsoft Excel Security & Requires Authentication.Click Ok To Continue」というメッセージボックスが表示され、Excel ログインページに偽装してユーザーの ID/PW 入力を要求する。ユーザーはメールの添付ファイル閲覧時、ファイル名を注意して見る必要があり、メールの件名と添付ファイルの関連があるか注意する必要がある。
- フィッシングアドレス : hxxps[:]//test.novostroi21[.]ru/aomzq/fccn/xlss.php
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- https[:]//formspree[.]io/f/myyazkbv
- https[:]//test[.]novostroi21[.]ru/aomzq/fccn/xlss[.]php
- https[:]//submit-form[.]com/fEU5zfZq
- https[:]//zenkoren[.]itigo[.]jp//cgi-bin/FDX/fedex[.]php
- http[:]//baltik-memorial[.]ru/wp-includes/Ex/Excel[.]php
- https[:]//www[.]btdpipe1ine[.]com/ke/fdpxoGur23f[.]php
- http[:]//ingitek[.]ru/bitrix/admin/csssg/xlss[.]php
- https[:]//pallarsactiu[.]cat/team/resultbox1[.]php
- https[:]//ecstatic-chandrasekhar[.]185-236-228-67[.]plesk[.]page/chkky/Adhl[.]php
- https[:]//submaxillary-torque[.]000webhostapp[.]com/pdf[.]php
- https[:]//constructedone[.]cf/chiel/dlpy[.]php
- https[:]//test[.]novostroi21[.]ru/isreal/mae/xlss[.]php
- https[:]//excellent[.]co[.]il/wp-contact/xtremsic/justgm[.]php
- https[:]//trillion-thursday[.]000webhostapp[.]com/itgg/adbn[.]php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計