AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年05月07日から05月13日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 72%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 2番目に多かったタイプは AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 16%)である。それ以外にもトロイの木馬(Trojan, 8%)、ダウンローダー(Downloader, 1%)、バックドア(Backdoor, 1%)、ワーム(Work, 1%)が確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは RAR、Z、GZ 、7Z などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。
配布事例
2023年05月07日から05月13日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| 緊急発注書/SW-23****019, SW-*** | 新たな注文 _SW-********, SW-*********_New RFQ 0302260142BE, 0302260142BF.htm |
| 製品見積問い合わせの件_(株)**** | PO_7478889393.shtml |
 DHL 貨物到着案内 [AWB#*****378004] |
AWBDHLShipment55409.html |
| 見積書送付の件 | 00155320.html |
| Re: Re: RE: 新規注文 PO#41900677 | JLG-SILVER contract MV AP ASTAREA.xls.htm |
| [FedEx] 輸入税納付期限案内– | FedXETX81865549.htm |
| Confirm Document. | New-Order.2023.xls.shtml |
| FedEX: shared “Shipping Documents MSK1****97/110*****” with you. | Commercial Invoice._pdf.htm |
| FYI…. Correct the error on your records. (Invoice paid) | PAID-00241.html |
| [SEC=OFFICIAL:Sensitive File-ACCESS=Personal Data-Privacy-2] | Personal Data-Privacy-SecureMessageAtt.html |
| Re:(Scanned) Doc~Original Copy – FYI | Shipping document.html |
| หนังสือมอบอำนาจสำหรับข้อเสนอของคุณ | 599345092876.xls.shtml |
| 重要报价订单 (紧急处理) | Urgent#Quotation.html |
| Everlee Hargrove | Your.transaction.0.7495.Bitcoin.wpA2WrOTkyKUQ.pdf |
| Purchase Order 02823 | Purchase-Order02823.htm |
| Protesto para: ************.******@***.com | Protesto-Consulta5512576.html |
| FW: confirm order | inv231pl432.shtml |
| RE: New Order NO.Z21239 | Purchase Order NO.Z21239.pdf |
| REQUEST FOR QUOTATION: Invoice | REQUEST FOR QUOTATION_.html |
| New Ag Order | PURCHORD_802_44730_20230504082506733.html |
| Zariyah Gunn | Bitcoin.Transaction.0.7495.BTCeepvVzcWKiOzJMw7j2DMQaQjbwxYZ.pdf |
| Aliza Rich | Mining.transaction.0.7495.BTCF4arIc3oth93MmHFdcXu1.pdf |
| [KR]: FedEx Invoice-108321198-XXXXX3239-230414160914935 | FedEx Invoice-108321198-XXXXX3239-230414160914935.shtml |
| Lyric Nelson | Bitcoin__Transfer__0.7495__BTCl0lysl.pdf |
| G AND H ENTERPRISES | doc_xls_0952023.html |
| Nancy Walter | Get__it__urgently__0.7495__BTCh0f8BQYsjjlMhS.pdf |
| RE: PO – | Dicta.pdf |
| Protesto para: ******.*******@***.com | Protesto-Consulta2291027.html |
| Please kindly see shipping invoices for payment with delivery | Payment_Receipt_11965140936.pdf.htm |
| Esme Clarke | Your_transaction_0.7495_Bitcoin_y9NVCAaRDijDj0TmglM1yK5PkfZn8TY4Sx.pdf |
| Double Charge on Credit Card – Reservation | Credit Card Statement.pdf |
| New Order For May P.O #3000000821 | MAY P.O #3000000821 .Shtm |
| RIMINDER entec Confirm Your Delivery Address | AWB-Ref_#310479442.HTML |
| Fwd:New Order Inquiry (Davis $ Shirtliff Co,. Ltd). | Confirm_Order_inquiry.html |
| Payroll direct deposit receipt | Account Department.html |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| Swift Copy Euro 23,458.31 | Euro Swift Copy.z |
| Wienerberger d.o.o. New Order | Wienerberger_d.o.o_23052291.img |
| FW: WIRE INSTRUCTIONS P384757 | Wire Instruction P85793.7z |
| RE: Surat Pesanan – RFQ | PT0012305.PDF.rar |
| FW: Bulk Units | VB-SM1248.docx |
| PURCHASE ORDER ( 231062 ) | PO-231062.zip |
| Inquiry | ESU51092W310.ISO |
| RE: [EXTERNAL] RE: Confirmación del pedido | Se adjunta factura proforma.zip |
| [FGIP2 Project / ***] Request for Quotation MR-001 FGIP2 PJT Package / **** | [FGIP2 Project ***] Request for Quotation MR-001 FGIP2 PJT Package ****.rar |
| 1*40GP_ ECU Urgent RFQ | QS20202310109051_ErgunMakina Ind_40GP_50CBM.xz |
| Price | DES310941H5.ISO |
| SWIFT Payment Receipt For Invoice | SWIFT Payment Receipt For Invoice.rar |
| Re: CNS-1093220 | CNS310932F20.IMG |
| RE:BSM011523Y | BSM011523Y.ISO |
| [SPAM] RE: DEBIT NOTE | DEBIT NOTE.rar |
| 50% ADVANCE CUSTOMER PAMENT TO ******.**** | TT copy -company invoice for clien #090523.r01 |
| cool pictures | privateact.exe |
| E-Ekstre Servisi | Ekstre.LZH |
| Fatura Bilgilendirme | Fatura.gz |
| New Order | 43000690531TEZ_S order.z |
| Para Transferi | TRANSFERI.UUE |
| PDA Remittance Receipt | PDA Remittance Receipt.rar |
| PO_29335_MOBRAY_CLASS_150_PROJECT_CB | PO_29335_MOBRAY_CLASS_150_PROJECT_CB.r01 |
| price list | 44XYZ_S Quote.z |
| Proforma Invoice/ USD bank details | ******** Chase.rar |
| Quotation | quote.gz |
| RE: Amended Purchase Order | AMENDED PURCHASE ORDER.rar |
| Re: orden de compra | orden de compra.gz |
| RE: quote request | 55FZ_S Quote.z |
| Release Order No for BL MEDUAF820164 | Bill of Lading and Letter of Authority# 023.rar |
| RFQ _#CIF/ FOR Hyderabad | RFQ _#CIF FOR Hyderabad.r01 |
| RFQ$$FOB_BASESRep. of KOREA | RFQ$$FOB_BASESRep. of KOREA.r00 |
注意するキーワード: 「見積」
今週の注意するキーワードは「見積」である。今週の配布元は、韓国国内の企業に偽装して見積依頼をリクエストする内容のフィッシングメール(見積書送付の件、製品見積問い合わせの件)を配布していた。フィッシングメールの本文は実際に使用される本文のように偽装していた。被害企業や流出したメールアカウントを通して収集した悪用して配布したものと推定される。電子メールには Web スクリプト(00155320.html, PO_78912290586868.shtml)ファイルが添付されていた。この HTML ファイルは メーカーページおよびMicrosoft Excel に偽装したページで、ユーザーが入力した情報は攻撃者サーバーに送信される。以下のように偽装された電子メールは Web ページスクリプト(00155320.html, PO_78912290586868.shtml)ファイルを配布しており、ユーザーが入力した情報が送信される攻撃者サーバーは以下の通りである。
攻撃者のアドレス(見積書送付の件) : https[:]//bilalid[.]tk/fgh/na1[.]php
攻撃者のアドレス(製品見積問い合わせの件) : https[:]//checkengineer[.]com/er/auth[.]php
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- https[:]//formspree[.]io/f/xdovnyrz
- http[:]//liagestoraimobiliaria[.]com[.]br/wp-content/zzzzzZZZ/fdx[.]php
- https[:]//www[.]krabiview[.]com/wp-content/themes/twentythirteen/line/exee[.]php
- https[:]//www[.]sandandstoneconstruction[.]com/wp-includes/fddx/dhlrr[.]php
- https[:]//woodless-neutron[.]000webhostapp[.]com/[.]cmd/error/encodede[.]php
- http[:]//baltik-memorial[.]ru/wp-includes/Ex/Excel[.]php
- https[:]//cianindustries[.]com/view/pop/xlss[.]php
- https[:]//dkglobaljobs[.]com/static/js/will/exee[.]php
- https[:]//submit-form[.]com/YxyXVvWR
- https[:]//formspree[.]io/f/xwkjrjbp
- https[:]//californiaapostillenotary[.]com/wp-admin/PY/cloudlog[.]php
- https[:]//cozuretabi[.]com/wp-includes/widgets/juuusssst/justgm[.]php
- https[:]//opalcoms[.]nz/win/auth[.]php
- https[:]//submit-form[.]com/4X38L2pE
- https[:]//submit-form[.]com/UwzTXAQr
- https[:]//heraldic-governors[.]000webhostapp[.]com/dhlc[.]php
- https[:]//checkengineer[.]com/bran/auth[.]php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計