ASEC 週間フィッシングメールの脅威トレンド (20230423 ~ 20230429)

AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年04月23日から04月29日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。

フィッシングメールの脅威タイプ

一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 62%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 2番目に多かったタイプは AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 15%)である。その次に多かったタイプはワーム(Worm, 11%)であった。Worm マルウェアは伝播機能を含むマルウェアの分類で SMTP プロトコルを使用し、大量のメールを送信するなどの様々な方式でマルウェアを伝播している。これ以外に、トロイの木馬(Trojan, 6%)、脆弱性(Exploit, 3%)、ダウンローダー(Downloader, 3%)が確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。

添付ファイルの拡張子

上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは RAR、ZIP、7Z、GZ などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。

配布事例

2023年04月23日から04月29日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。

事例: 偽のログインページ(FakePage)

メールの件名 添付ファイル
[FEDEX] 輸出申告内容書添付 – AWB – 771809695008 [FedEx] Shippingdocs.htm
アップグレードが必要です。 ******.co.kr upgrade.htm
✈FedEx 貨物到着案内 [AWB#6704537800] FedExDocShip.html
✈DHL 貨物到着案内 [AWB#*****378004] AWB3342DHLShipmentDocument.html
[**** 貨物] 送り状原本および包装リスト通関。 Original-invoice_******.***.htm
RE: Shipment BL/AWB # & INVOICE/PACKING LIST – 3098438290 ETD/ETA Original Shipiing_ Doc-AWB#64492586612.pdf.html
新たな注文の問い合わせ New Purchase Order Inquiry-08-22.htm
New Order – PO-KM19-141701 PO-KM19-141701.htm
RV: ! Urgent Purchase Order PO603.shtml
CIPC Annual Returns-K2018772381 COR14.1A.html
Payment: ACH Payment on hold ACH Deposit Agreement.html
[SEC=OFFICIAL:Sensitive, ACCESS=Personal Data-Privacy] Personal Data-Privacy-SecureMessageAtt.html
Re: Overdue Outstanding Payment Payment_Invoice.shtml
Congratulations – IMF Donation b4334540-ea22-11ed-bb90-44a842253043.html
[FedEx] Import Tax Payment Deadline Information (INV and AWB) FedEx_AWB Original.html
Email deactivation notification attachment-1._
RE: Shipment BL/AWB # & INVOICE/PACKING LIST – 721499777319 Original Shipiing_ Doc-AWB#44142554808.pdf.html
DHL Arrival Notice: New DHL Shipment Document / Shipping Documents / Original BL, Invoice & Packing List
New DHL Shipment Document Arrival Notice _ Shipping Documents _ Original BL, Invoice & Packing List.shtml
RE: Shipment BL/AWB # & INVOICE/PACKING LIST – 647551940416 Original Shipiing_ Doc-AWB#67171342267.pdf.html
✈DHL Cargo Arrival Information [AWB#*****378004] DHLParcelShipmentDoc.html
RFQ. Purchase-request_pdf.shtml
Congratulations – IMF a21197c0-ea3d-11ed-8e27-44a842253043.html
Congratulations – IMF Grant 37e5b7b0-ea23-11ed-910b-44a842253043.html
Greetings – IMF Grant 3aa85621-ea4f-11ed-b728-44a842253043.html
Congratulations – IMF Empowerment Grant b68281de-ea21-11ed-9b25-44a842253043.html

事例: マルウェア(Infostealer、Downloader など)

メールの件名 添付ファイル
Request_for_Quote_106_-_Supply_of_Flex_Connector_for_Diesel_Engine_Exhaust Request for Quote.rar
new project order and pricing. Doc_2152_182239pdf.7z
****** 注文する 230327-1 Offer(******) -CCK-3. 2unit IR (Rev.1).gz
Booking for my Birthday Reservation for Birthday Party.docx
CBFI CV3000 CONTRACT COPY/CARGO MANIFEST CBFI CV3000 Contract_Copy_2Original-20230426.doc
REMITTANCE TT COPY TT COPY.xls
FW: URGENT PURCHASE ORDER PURCHASE ORDER.rar
RE: PRICE FOR DISCOUNT -BEMS-477 PRICE DISCOUNT QOUTATION.r00
RE: Product Inquiry and RFQ CATALOGUE AND PRODUCTS SPECIFICATION.r00
Autogenerated mail – Payment Advice Payment Advice 001076723030.pdf.gz
Fw: RFQ Request for quotation – April 2023.pdf.zip
New order Request New order.zip
New Order Purchase Inquiry Purchase Inquiry.r00
Re: Re: Po No. 0456/ZHS/23T ORDER KERGYK109008_ORDER.zip
Payment Copy 20230425-Mt103-80012372654390.zip
R: R: Payments REMITTANCE COPY_20230427_912309172542311.zip
DHL AWB – Invoice & Shipping Documents DHL AWB – Invoice & Shipping Documents.zip
Aw: About the payment SWIFT Message_MT 103_00101881022.gz
RE: order Quote_2200001484.r09
STOCK REQUEST for 01 x 20′ Container (10 Pallets) – REVISED CONTRACT.zip
TRUCKING INSTRUCTIONS – EX SIN TO SYD – APR23 Export Trucking Instruction.zip
****** BANKASI A.S. 25.04.2023 ***** ******** ****bank_*****_20230425_073809_405251-PDF.r27
urgent new orders packaging and delivery. Doc_251_71190_06123pdf.7z
Re: smart picture PRIVATE wildaction.jpg.scr
Re[3]: cool photos just for you great-plp.pif
sexy photo myact.jpg.pif
Re: wonderful pictures great_imgs.jpg.exe
Re[3]: beautiful picture prvpic.gif.pif
beautiful images imortant coolimg.gif.pif
Re[5]: beautiful pictures very important great_pic.jpg.exe
Re: smart photo very important great__plp.scr
Re[2]: very nice photos wild_phot.jpg.scr
nice photos private privateaction.pif
very nice photo super_act.gif.pif
Re[2]: super wonderful photos don’t show fuck-img.gif.scr
Re[2]: very beautiful photos best__plp.jpg.pif
cool pictures imortant privateimgs.exe
Re[5]: super cool images just for you wild__phot.gif.pif
super sexy photo cool-pic.jpg.pif
Re[5]: sexy photo private great-imgs.jpg.pif
beautiful picture myplp.gif.scr
Re[5]: very cool photos only for you wild_phot.scr
Re[2]: super nice photos just for you priv-act.jpg.scr
Re[4]: very wonderful picture great__photos.gif.scr
Re[3]: wonderful photos just for you fuck_img.pif
ASEC 分析チームは上記の配布事例をもとに、ユーザーが注意しなければならないキーワードを選定した。キーワードがメールの件名に含まれていたり、同じような特徴がある場合、攻撃者が送信したフィッシングメールである可能性があるため、特に注意する必要がある。

 

注意するキーワード: 「イメージファイルに偽装」  

今週の注意するキーワードは「イメージファイルに偽装」である。フィッシングメールのうち、イメージファイルを添付したように偽装(coolming.gif.pif)する Worm 類のマルウェアが確認された。攻撃者はユーザーの好奇心をそそるような刺激的なメッセージを送り、ユーザーがイメージファイルに偽装したマルウェアを実行するように誘導していた。拡張子は以下のように*.pifで作成されて配布されており、これはEXE拡張子のような実行可能なファイルである。ユーザーはメールの添付ファイル閲覧時、ファイル名を注意して見る必要があり、メールの件名と添付ファイルの関連があるか注意して見る必要がある。  

偽のページ(FakePage) C2 アドレス

偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。

  • https[:]//formspree[.]io/f/myyazkbv
  • https[:]//formspree[.]io/f/xayznrae
  • https[:]//press[.]genesis[.]ru/zeta/xlss[.]php
  • https[:]//www[.]coupedusud[.]fr/upload/accueil/speed/next[.]php
  • https[:]//drmaysilveira[.]com[.]br/wp-content/onyi/excelz/index[.]php
  • https[:]//anmelden[.]ml/[.]well-known/ac/pdf[.]php
  • https[:]//steelfirst[.]com[.]au/new/1drv[.]php
  • https[:]//tinyurl[.]com/bdfavnm7
  • https[:]//press[.]genesis[.]ru/ziv/xlss[.]php

フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。

  • 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
  • ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
  • 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
  • アンチウィルスをはじめとしたセキュリティ製品を利用する。

フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。

  • Phishing for Information(Reconnaissance, ID: T1598[1])
  • Phishing(Initial Access, ID: TI1566[2])
  • Internal Spearphishing(Lateral Movement, ID:T1534[3])

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments