AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年04月30日から05月06日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 44%)が最も多い数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 2番目に多かったタイプは AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 40%)である。その次に多かったタイプはワーム(Worm, 6%)であった。Worm マルウェアは伝播機能を含むマルウェアの分類で SMTP プロトコルを使用し、大量のメールを送信するなどの様々な方式でマルウェアを伝播している。これ以外に、トロイの木馬(Trojan, 5%)、ダウンローダー(Downloader, 4%)などが確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。 
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは RAR、ZIP、7Z、GZ などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。
配布事例
2023年04月30日から05月06日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
 DHL 貨物到着案内 [AWB#*****378004]? |
DocParcalAWB4521DHLShipment.html |
| [FedEx] 収入明細案内整理.? | FedEx – kcy***- AWB.pdf.htm |
| 送り状原本および包装リスト通関 | Original-invoice_s10320.htm |
| [FedEx] 収入税納付期間案内(INV および AWB) | AWB#989345874598.htm |
| 航空券の決済が完了しました~空港に行く前に確認 | 受信ドキュメントを見る(プリントしてください)..html |
| Re: Fwd: Quotation Order | PO# 175.htm |
| Re : PO#20836 | Order-inquiry#02836.htm |
| DHL Shipping Document / Invoice Receipt | DHL Shippingdoc.htm |
| Re:Извещение. | Подробное описание проекта в файле с инструкциями и указаниями-aQvBzAZy731359.pdf |
| Nota Fiscal para ******.****@***.com | NFE01052023br.pdf |
| Transaction Details Report : Contact Email : *******79@*****.com . | Transaction Details(DOC).html |
| New Order Inquiry (Davis $ Shirtliff Co,. Ltd). | confirm_order_ inquiry.html |
| Email account ji*h.*** will be closed , Update account to stay connected today | Office 365 validation form.htm. |
| Re: RE: ET Info M396692 | ProjectFunding-438574643-Apr28.pdf |
| [HDEC] RFQ_Qatar NOC Ruya Project. | REQUEST_FOR_QUOTATION_HDEC_80701125254.htm |
| Notification of shipment for ********.in@******.co.kr | AWB-Ref_#310479442.html |
| RFQ. | Purchase-request_pdf.shtml |
| Lee Stiles Roofing Ltd Invoice | Fixing Pricelist & Invoice #1939-doc.x.html |
| RIMINDER islee Confirm Your Delivery Address | AWB-Ref_#310479442.HTML |
| Re:(Scanned) Doc~Original Copy – FYI | Confirm Shipment.html |
| FW:ATTACHED SWIFT COPY 5/3/2023 2:37:00 a.m. | AWDPAYMENT-RECEIPT.html |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| [DHL] 収入申告受理内容書 (特送事後納付-徴収 18) 納付告知書 – 5039268570 | Import_Declaration_5039268570_1235623437131M.rar |
| Re[4]: smart photos | fuckimg.jpg.scr |
| smart photos | coolimg.pif |
| Re[4]: very cool images PRIVATE | fuck-scene.gif.pif |
| Inquiry | 110690531TEZ_S Quote.r09 |
| Re[2]: very nice pics | fuckimages.jpg.exe |
| Re[5]: smart pictures private | prv-scene.exe |
| Purchase Order 5909121522 | PO no. 5909121522.arj |
| Re[3]: smart pictures very important | fuck-imgs.exe |
| Invoice and packing list # TX/LO/3931/23-24 AIR SHIPMENT | INVOICE TX 3931 2023 LO.xz |
| RE: Holiday Tours Package | Booking_0256_0762pdf.7z |
| new order inquiry | Doc_7780_0614520pdf.7z |
| urgent new orders packaging and delivery. | Doc_7780_061161pdf.7z |
| Re[3]: sexy pics | greatimg.gif.scr |
| CHILDREN GARDEN PROJECT – SHARJAH | CHILDREN GARDEN PROJECT.7z |
| sexy photo | theimg.jpg.pif |
| Re[3]: beautiful photos | fuckact.jpg.pif |
| Re: Booking Package | Booking_0026_062pdf (1).7z |
| Re[3]: beautiful pictures private | prv__photos.gif.scr |
| re: Adtours travel, inc | Booking_5136_05842pdf.7z |
| Re: sexy photo just for you | best_phot.gif.pif |
| Shipping Docs – CI & PL | Cl & PL.docx |
| PAYMENTS – 5th May 2023 | 20230505_MT103_0198236541001.gz |
| smart photo just for you | privatepctrs.jpg.pif |
| Re[3]: very smart images only for you | wild-plp.gif.exe |
| smart picture | superimgs.jpg.exe |
| beautiful pictures | coolphot.gif.scr |
| Re[5]: super cool picture FOR YOU ONLY | priv_photos.jpg.pif |
| Terelease- 100% Down payment Usd217,000 made to your account!!! | UDB TRANSFER MT_103.zip |
| beautiful picture | superimgs.gif.scr |
| Re[4]: nice picture private | best_pic.jpg.exe |
| Custom Leather for Mining H&M Style PS MARILN JACKET S.8 | PS MARILN JACKET S.8 and Sticker Series.docx |
| Purchase Order #PO2300109 | PO.xls |
| RFQ_XINGTAI NET PISTON CO.,LTD//CIF Xingtai, Hebei PORT | RFQ_CIF Xingtai, Hebei PORT PDF.r00 |
| New Purchase Order May-PO_3852118 | PO_3852118.r09 |
| Quote Request | QUOTATION.IMG |
| URGENT / RQ2 / NEW ENQUIRY | NEW ENQUIRY.zip |
| T.HALK BANKASI A.S. 04.05.2023 Hesap Ekstresi | Halkbank_Ekstre_04052023_073379_6158824-PDF.tar |
| RE: [EXTERNAL] Order confirmation | New order list attached.zip |
| Purchase Order – [68048-2023031801] | 68048-2023031801.001 |
| RE: Confirmación del pedido | Adjunto factura proforma.zip |
| New purchase order teams | New purchase order teams.pdf.zip |
| Fw: SOA Reminder #300536 | SOA.zip |
| DBS Transfer status on hold | DBS.IMG |
| Re: New Offer 56009214 | Offerr POA 234667843.zip |
| order | Quote_4400001478.r09 |
| TRANSFER ORDER/Payment 50% order | OV PRETEC 50% FORM.rar |
| RE: [EXTERNAL] Confirmación del pedido, | Se adjunta nueva lista de pedidos.zip |
| Quotation | QUO21256.001 |
| AW: PO-000001306 | 1300690531TEZ_S Quote.gz |
| New enquiry | 31TEZ_S Quote.r09 |
| HSBC – EXPORT BILL PROCEEDS PAID BACKTG783686CCC – Ref:[TRDAB0429159461] | HSA771942-T01.rar |
注意するキーワード: 「航空券」
今週の注意するキーワードは「航空券」である。攻撃者は連休中に海外旅行客が増加することを狙い、航空券に偽装したフィッシングメールを配布した。メールの本文内容には、航空券の決済明細書が存在し、ユーザーがアカウント情報を入力すると航空券の確認証を受け取れるように、添付ファイルで誘導していた。アカウント情報を入力すると、その情報が攻撃者のフィッシングサーバーに流出するため、ユーザーは添付ファイルの閲覧に常に注意しなければならない。特に ID/PW 入力する場合には、メールのソースを再確認し、アカウント情報の流出を予防しなければならない。フィッシングアドレス : https[:]//unitedmerchantbank[.]com/resources/views/email/post.php
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- https[:]//formspree[.]io/f/myyazkbv
- https[:]//www[.]cncorporation[.]co[.]th/new/1drv[.]php
- https[:]//press[.]genesis[.]ru/cv/xlss[.]php
- https[:]//formspree[.]io/f/myyazkbv
- https[:]//submit-form[.]com/igEYNa0o
- https[:]//unitedmerchantbank[.]com/resources/views/email/post[.]php
- https[:]//submit-form[.]com/fqlAV3x1
- https[:]//submit-form[.]com/4X38L2pE
- https[:]//dkglobaljobs[.]com/static/js/will/exee[.]php
- https[:]//submit-form[.]com/YSQ2tHeA
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 総計