AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年05月14日から05月20日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 27%)が圧倒的な数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 2番目に多かったタイプは AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 25%)である。それ以外に、ダウンローダー(Downloader, 21%)、トロイの木馬(Trojan, 21%)、脆弱性(Exploit, 4%)、バックドア(Backdoor, 2%)、ワーム(Worm, 1%)が確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。 
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは RAR、Z、CAB、7Z などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。
配布事例
2023年05月14日から05月20日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| 製品見積問い合わせの件_(株)***** | PO_78912290586868.shtml |
| 2023年 4月 給賞与明細書 | s***** Voucher.shtml |
| Attached-Purchse Order-SOC Purchase-May ’23 | AIS_Purchase Agrmt_pdf.htm |
| Undelivered Mail Returned to Sender | MAILER-DAEMON.SHTML |
| Re: Request For Quotation | New Project.shtml |
| FW:ATTACHED SWIFT COPY 5/18/2023 11:19:22 p.m | TTCOPY.html |
| RE: PINVOICEAYMENT | P-O.shtml |
| OneDigital New PO #411003 | OneDigital New PO #411003.html |
| Payment Ref no. MS-20230515/11004 | doc_15052023.pdf.html |
| Re: Congratulations You Have WON !!! | Official Reward Payment Notification.pdf |
| REQUEST FOR QUOTATION (RFQ REF : R2100131410) | RFQ REF R2100131410.html |
| Re: Invoice Order ESV3182 | PI for PO ESV3182(Image)Exc.htm |
| FYI…. Correct the error on your records. (Invoice paid) | PAID-00241.html |
| We’re here to serve you | CEO ***** MESSAGE.pdf |
| Confirmation of Bank Transfer for Booking | HotelPaymentProof.pdf |
| New Order Inquiry (***** Co,. Ltd). | Confirm_Order_inquiry1.shtml |
| Invoice #073894.HTM | Invoice Confirmation.html |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| 返信:返信:[DHL] 収入申告受理内容書(受理前納付) – 1000452436 | Import declaration acceptance statement.rar |
| Purchase Order | Purchase Order.PDF.exe |
| PURCHASE ORDER -61 – 8200674377 | P-416550B.z |
| SYN2023060702 >>> PO Sign Back >>> Preshipment Documents | SYN2023060702.z |
| RE: Re: Re: [Re] quotation | doc 8800046511.rar |
| Würth Trading s.r.o. – PO | SAMPLE REQUEST ITEMS.z |
| Quotation for Blister packing machine Model – Victory & Trinity | Quotation for Blister packing machine Model .rar |
| RE: New Order For May | Purchase Order.xls |
| Re: Proforma Invoice | proforma INV.xls |
| DHL AWB – #1666547433_Shipping Documents | DHL AWB – #4500082142_Shipping Documents.gz |
| REQUEST FOR PRICE AND AVAILABILITY | CAPs INQUIRY #2005023.r01 |
| FW: Quotation for Products 138# ( HNTD_2002883) | RV099278372-0288.7z |
| NEW ORDER DETAILS | order details.zip |
| Rfq 2303-517.05.05.460 | prod sheet& Specs.arj |
| Fw: Re: PAYMENTS | 20230515_Swift Message Mt103_0125442332153.gz |
| FW:PRECISION MACHINERY L.L.C CONTRACT | PRECISION MACHINERY L.L.C CONTRACT.r00 |
| Order Confirmation : Rfq: //TOP URGENT// – PO-34482 | PO.zip |
| Purchase Order | PurchaseOrder.PDF.exe |
| RE: ADVISE SHIPPING DOCS FOR INV DXI-23030119-1 // Pending Order | DOCDXI23030119_Pdf.rar |
| PO109895 payment details. | 122690531TEZ_S Quote.r09 |
| RE: Inquiry | DOCSZOE23050007_pdf.rar |
| RE: New Shipment Order / Urgent Request Approval of Draft Shipping Docs (BL/SZOE23050007) | MT103-8886740578.r01 |
| Re: Purchase Order 4500432823 NAD Att: SWIFT 374666318546577 | Documents.r00 |
| RE: Solicitud de estados de Pedido | Orden de compra_xlsx.z |
| sales contract-876 & New-Order | New P-Order-19.05.23.r11 |
| Shipment Package Delivery Notification | parckingList -Invoic00 BLpdf00.r00 |
| AW:AW: Request For Quotationt-25148 | Request For Quotation.bz |
| Request for Quotation 94573-LAR&SAF CAPSA/BIO OILS | RFQ-945730101-B0000005023019.cab |
| KDF Sports Flooring | KDF20230510-88 – Flooring Project.7z |
| FACTURA cadenadesuministro | FACTURA_CADENADESUMINISTRO.zip |
| FW: confirmación de información/datos bancarios#FW: confirmation of bank information/data | datos bancarios.PDF.xxe |
| RE:RE NEW ORDER | NEW ORDER LIST 2.zip |
| NEW: RFQ#0050723 | RFQ#0050723.r01 |
| order | QUOTE-272.z |
| Re: New Enquiry | AUL2302.z |
| Re :Orden de Compra No. 2647 | orden de compra 2647.img |
| QUOTATION | quotation 239865.img |
| RE: Κράτηση | 0625242590237263.zip |
| RE: WB 2210373 ew contract for 1 container white beans to Mersin | Re New Order 957KHS634.bz |
| RE:PROFORMA INVOICE | 9886543244.zip |
| PAYMENT COPY | Swift Copy Mt103 xxxxx single trannsfer.gz |
| We need these products | PO809A23.PDF.img |
| sexy pictures | coolpctrs.jpg.exe |
| super smart pics | s*x__photos.gif.exe |
ASEC 分析チームは上記の配布事例をもとに、ユーザーが注意しなければならないキーワードを選定した。キーワードがメールの件名に含まれていたり、同じような特徴がある場合、攻撃者が送信したフィッシングメールである可能性があるため、特に注意する必要がある。
注意するキーワード: 「Formspree」/「Formspark」
今週の注意するキーワードは「Formspree」/「Formspark」サービスである。Formspree/Formspark(submit-form) は Web ページのメール送信機能を無料で具現できる正常なサービスで、最近はこのようなサービスを悪用したフィッシング攻撃が増加している。今回紹介するメールは、韓国国内企業の給与明細書に偽装したフィッシングメールである。このメールでは Web ページスクリプト(***_Voucher.shtml)ファイルが添付されている。この sHTML ファイルは Adobe PDF に偽装した偽のページで。ユーザーが情報を入力すると Formspree サービスをと祖いて攻撃者のメールに転送される。この攻撃者の Formspree アドレスは以下の通りである。
- 攻撃者 Formspree アドレス : https[:]//formspree[.]io/f/xwkjrjbp
攻撃者が送信したメールの本文
メール内の添付ファイル(***_Voucher.shtml)
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- https[:]//formspree[.]io/f/xwkjrjbp
- https[:]//zen-pa[.]com/index/spam/verify/webapp[.]php
- https[:]//jigueos[.]nl/exs/xlss[.]php
- https[:]//submit-form[.]com/M9g3KLqI
- https[:]//formspree[.]io/f/mzbqyzjd
- https[:]//checkengineer[.]com/er/auth[.]php
- https[:]//submit-form[.]com/4LKlvSr6
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計