AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年04月23日から04月29日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 62%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 2番目に多かったタイプは AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 15%)である。その次に多かったタイプはワーム(Worm, 11%)であった。Worm マルウェアは伝播機能を含むマルウェアの分類で SMTP プロトコルを使用し、大量のメールを送信するなどの様々な方式でマルウェアを伝播している。これ以外に、トロイの木馬(Trojan, 6%)、脆弱性(Exploit, 3%)、ダウンローダー(Downloader, 3%)が確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは RAR、ZIP、7Z、GZ などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。
配布事例
2023年04月23日から04月29日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
メールの件名 | 添付ファイル |
[FEDEX] 輸出申告内容書添付 – AWB – 771809695008 | [FedEx] Shippingdocs.htm |
アップグレードが必要です。 | ******.co.kr upgrade.htm |
FedExDocShip.html | |
AWB3342DHLShipmentDocument.html | |
[**** 貨物] 送り状原本および包装リスト通関。 | Original-invoice_******.***.htm |
RE: Shipment BL/AWB # & INVOICE/PACKING LIST – 3098438290 ETD/ETA | Original Shipiing_ Doc-AWB#64492586612.pdf.html |
新たな注文の問い合わせ | New Purchase Order Inquiry-08-22.htm |
New Order – PO-KM19-141701 | PO-KM19-141701.htm |
RV: ! Urgent Purchase Order | PO603.shtml |
CIPC Annual Returns-K2018772381 | COR14.1A.html |
Payment: ACH Payment on hold | ACH Deposit Agreement.html |
[SEC=OFFICIAL:Sensitive, ACCESS=Personal Data-Privacy] | Personal Data-Privacy-SecureMessageAtt.html |
Re: Overdue Outstanding Payment | Payment_Invoice.shtml |
Congratulations – IMF Donation | b4334540-ea22-11ed-bb90-44a842253043.html |
[FedEx] Import Tax Payment Deadline Information (INV and AWB) | FedEx_AWB Original.html |
Email deactivation notification | attachment-1._ |
RE: Shipment BL/AWB # & INVOICE/PACKING LIST – 721499777319 | Original Shipiing_ Doc-AWB#44142554808.pdf.html |
DHL Arrival Notice: New DHL Shipment Document / Shipping Documents / Original BL, Invoice & Packing List |
New DHL Shipment Document Arrival Notice _ Shipping Documents _ Original BL, Invoice & Packing List.shtml
|
RE: Shipment BL/AWB # & INVOICE/PACKING LIST – 647551940416 | Original Shipiing_ Doc-AWB#67171342267.pdf.html |
DHLParcelShipmentDoc.html | |
RFQ. | Purchase-request_pdf.shtml |
Congratulations – IMF | a21197c0-ea3d-11ed-8e27-44a842253043.html |
Congratulations – IMF Grant | 37e5b7b0-ea23-11ed-910b-44a842253043.html |
Greetings – IMF Grant | 3aa85621-ea4f-11ed-b728-44a842253043.html |
Congratulations – IMF Empowerment Grant | b68281de-ea21-11ed-9b25-44a842253043.html |
事例: マルウェア(Infostealer、Downloader など)
メールの件名 | 添付ファイル |
Request_for_Quote_106_-_Supply_of_Flex_Connector_for_Diesel_Engine_Exhaust | Request for Quote.rar |
new project order and pricing. | Doc_2152_182239pdf.7z |
****** 注文する | 230327-1 Offer(******) -CCK-3. 2unit IR (Rev.1).gz |
Booking for my Birthday | Reservation for Birthday Party.docx |
CBFI CV3000 CONTRACT COPY/CARGO MANIFEST | CBFI CV3000 Contract_Copy_2Original-20230426.doc |
REMITTANCE TT COPY | TT COPY.xls |
FW: URGENT PURCHASE ORDER | PURCHASE ORDER.rar |
RE: PRICE FOR DISCOUNT -BEMS-477 | PRICE DISCOUNT QOUTATION.r00 |
RE: Product Inquiry and RFQ | CATALOGUE AND PRODUCTS SPECIFICATION.r00 |
Autogenerated mail – Payment Advice | Payment Advice 001076723030.pdf.gz |
Fw: RFQ | Request for quotation – April 2023.pdf.zip |
New order Request | New order.zip |
New Order Purchase Inquiry | Purchase Inquiry.r00 |
Re: Re: Po No. 0456/ZHS/23T ORDER | KERGYK109008_ORDER.zip |
Payment Copy | 20230425-Mt103-80012372654390.zip |
R: R: Payments | REMITTANCE COPY_20230427_912309172542311.zip |
DHL AWB – Invoice & Shipping Documents | DHL AWB – Invoice & Shipping Documents.zip |
Aw: About the payment | SWIFT Message_MT 103_00101881022.gz |
RE: order | Quote_2200001484.r09 |
STOCK REQUEST for 01 x 20′ Container (10 Pallets) – | REVISED CONTRACT.zip |
TRUCKING INSTRUCTIONS – EX SIN TO SYD – APR23 | Export Trucking Instruction.zip |
****** BANKASI A.S. 25.04.2023 ***** ******** | ****bank_*****_20230425_073809_405251-PDF.r27 |
urgent new orders packaging and delivery. | Doc_251_71190_06123pdf.7z |
Re: smart picture PRIVATE | wildaction.jpg.scr |
Re[3]: cool photos just for you | great-plp.pif |
sexy photo | myact.jpg.pif |
Re: wonderful pictures | great_imgs.jpg.exe |
Re[3]: beautiful picture | prvpic.gif.pif |
beautiful images imortant | coolimg.gif.pif |
Re[5]: beautiful pictures very important | great_pic.jpg.exe |
Re: smart photo very important | great__plp.scr |
Re[2]: very nice photos | wild_phot.jpg.scr |
nice photos private | privateaction.pif |
very nice photo | super_act.gif.pif |
Re[2]: super wonderful photos don’t show | fuck-img.gif.scr |
Re[2]: very beautiful photos | best__plp.jpg.pif |
cool pictures imortant | privateimgs.exe |
Re[5]: super cool images just for you | wild__phot.gif.pif |
super sexy photo | cool-pic.jpg.pif |
Re[5]: sexy photo private | great-imgs.jpg.pif |
beautiful picture | myplp.gif.scr |
Re[5]: very cool photos only for you | wild_phot.scr |
Re[2]: super nice photos just for you | priv-act.jpg.scr |
Re[4]: very wonderful picture | great__photos.gif.scr |
Re[3]: wonderful photos just for you | fuck_img.pif |
注意するキーワード: 「イメージファイルに偽装」
今週の注意するキーワードは「イメージファイルに偽装」である。フィッシングメールのうち、イメージファイルを添付したように偽装(coolming.gif.pif)する Worm 類のマルウェアが確認された。攻撃者はユーザーの好奇心をそそるような刺激的なメッセージを送り、ユーザーがイメージファイルに偽装したマルウェアを実行するように誘導していた。拡張子は以下のように*.pifで作成されて配布されており、これはEXE拡張子のような実行可能なファイルである。ユーザーはメールの添付ファイル閲覧時、ファイル名を注意して見る必要があり、メールの件名と添付ファイルの関連があるか注意して見る必要がある。
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- https[:]//formspree[.]io/f/myyazkbv
- https[:]//formspree[.]io/f/xayznrae
- https[:]//press[.]genesis[.]ru/zeta/xlss[.]php
- https[:]//www[.]coupedusud[.]fr/upload/accueil/speed/next[.]php
- https[:]//drmaysilveira[.]com[.]br/wp-content/onyi/excelz/index[.]php
- https[:]//anmelden[.]ml/[.]well-known/ac/pdf[.]php
- https[:]//steelfirst[.]com[.]au/new/1drv[.]php
- https[:]//tinyurl[.]com/bdfavnm7
- https[:]//press[.]genesis[.]ru/ziv/xlss[.]php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計