AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年05月28日から06月03日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 36%)が最も多い数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 2番目に多かったタイプは AgentTesla、FormBook、AveMaria のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 27%)である。それ以外にもトロイの木馬(Trojan, 22%)、ダウンローダー(Downloader, 10%)、脆弱性(Exploit, 2%)、ワーム(Worm, 1%)、バックドア(Backdoor, 1%)、ドロッパー(Dropper, 1%)が確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML、SHTM、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは RAR、Z、GZ、7Z などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。
配布事例
2023年05月28日から06月03日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| [FedEx] 関税納付案内(Tax Invoice) | FedEx.html |
| 02-QT-000488 – Request for Price Q1-プロジェクト注文仕様要請 | PO-02-QT-000488 _**********.com.HTM |
| PO PO 別 vkj 生産状況 MAY.29 T/T | po~vkj_mfj3987365367893.pdf |
| Your account already has +14777$ | Your_balance_has_been_replenished_22%2C336%24-8615.pdf |
| When you get your money +16853$ | You_are_now_rich_21.639%24_on_your_balance-263.pdf |
| FW: RE: Shipping Documents | Scanned Bill of Lading Doc.Pdf.htm |
| Re: RFQ – 3~PHASE ORD | PO-98802.shtml |
| Re: Balance payment confirmation cg06″ | Bal_payment swift.shtml |
| You are now rich +11498$ on your balance! | 26316%24_Need_to_move_you_have_24_hours-14255.pdf |
| Signed Shipping Documents For Consignee (********@*********.co.kr) | Bill Of Lading Copy.html |
| You are now rich +27244$ on your balance! | When_you_get_your_money_17%2C612%24-2703.pdf |
| Come on, quickly withdraw your +27662$! The account is not blocked yet | 29%2C694%24_Need_to_move_you_have_24_hours-14275.pdf |
| Booking.com Invoice 8831882301 | lnvoice-8831882301.pdf |
| Booking.com Invoice 9831249301 | lnvoice-9831249301.pdf |
| Re: June/New-Order #Brazil-098484OBZ | June_New-Order #Brazil-098484OBZ.XLS.html |
| VERIFY YOUR ACCOUNT. | *********.comUPDATE.shtml |
| [DHL] Shipping Document // Arrival-Notification – ETA: 6/25 BL NO: 23******* | Shipping Document_Bill of Lading.Pdf.htm |
| Request for quotation | Quote.htm |
| 【电子发票号码:30940297】您收到一张新的电子发票 | SF E-Invoice 30940297.pdf.html |
| VERIFY YOUR **********.com ACCOUNT. | *********.comUPDATE.shtml |
| New Order for Po No. : 4500250395 | PO2340943.html |
| Inquiry | Quote.html |
| <Request for Quotation> / Toyo Korea / ****** *** Electric | Order345009.html |
| invoice & Shipping Documents 29 May 2023 | dhl-shipment_invoice PI-Bill Of Lading#998454.htm |
| Re:(Scanned) Doc~Original Copy – FYI | Shipping document.html |
| Shipment Notice – Confirm Shipping Documents | Scanned Copies of Packing List_ETD.Pdf.htm |
| Documentos | ##documentos.XLSx.img |
| MAY P.O _3000000821 | MAY P.O _3000000821.Shtm |
| FW: BANK STATEMENTS (JAN – APR.) 2023 | BANK STATEMENTS (JAN – APR.) 2023.zip .htm |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| 返信:返信:[DHL] 収入申告受理内容書(受理前納付) – 1000452436 | Import declaration acceptance statement-1000452436.rar |
| UPS Korea-att 運送状内容 | att1-Doc^^ICNIR00112339^^ACC^^KR^^IBS^^BIV_FRI_ICN.z |
| Final Warning – Over Due Payment – Urgent Reminder!Final Warning – Over Due Payment – Urgent R…. | Overdue.img |
| RE: Booking | MSDS-112800.xlsm |
| P. Order & Contract (A-4553)2 | P. Order & Contract (A-4553)2.rar |
| New Order 220628001 | New Order 220628001.PDF.iso |
| [Sending Finalized Text] G7+Partners FASS Meeting | [FINAL] ********* Action Statement for Resilient Global Food_ Security_trackchanged.docx |
| Pending DHL Shipment Notification REF: 02/6/2023 | Shipping doc.img |
| Enquiry for Quotation – Works at Sector MZW-18 in ****** ****** Project | PO.028940.22.S-R224454676781-P0-MT_SAM.rar |
| Shipment Delivery Address *(Required) contact form | Required contact form..rar |
| Payment Receipt For T/T USD$140,378,00 | Payment Receipt For TT USD$140,378,00.rar |
| Please review your July 2022 offer | PLAYGROUND PROJECT – 2022089928 – KDF.arj |
| INCOMING DELIVERY NOTIFICATION | Delivery Repor.iso |
| RE: RE: FW: 2023/7/24 order shipment | Automann- Order2#44096.docx |
| cargo booking to Maresk for Po SPL-036500 & SPL-037282 | SPL-036500 & SPL-037282.pdf.z |
| Fatura ve GB Hk. | PROFORMA.LZH |
| Fw: Copia de pago | Copia de pago#8101227910.05302023.gz |
| New enquiry | Quotation Details_pdf.z |
| NEW ORDER | Purchase Order 982F23.Docx.img |
| purchase order | PO331020770.z |
| Purchases Order // PO23100080 | PO23100080.z |
| quote request | Purchase order.r20 |
| RE: inquiry | 30590120233540MES_S Quote.z |
| Re: Purchase Order No. 9455 & 9556 | 9455 & 9556.z |
| RE: quote request | 10690531TEZ_S Quote.r09 |
| Re[5]: wonderful pics | great_pctrs.pif |
| Ref:103XXXXX Shipment of Original Documents. | DHL SHIPMENT NOTIFICATION_PDF.gz |
| SWIFT TRANSFER. | SWIFT TRANSFER.LZH |
| *****Bank tarafindan | evraklar.gz |
| very cool pictures | sex-pic.jpg.exe |
| RE ; Advance in process – project #1021 (30% deposit) | invoice.xls |
| RE: Statement of Account | SOA.xls |
| RE: Reservation | MSDS-19055205pdf.7z |
| RE: Booking Request | MSDS-112883pdf.7z |
| Re: “URGENT” PAYMENT BACK RETURNED TT (Ref 0066743) | 006673-001.arj |
| Re: Request for Quotation via ShipServ DQR02/5-10-2023 | QTN-DQR025-10-2023.rar |
| Payment Advice Note 81930 30.05.2023 – 4360A | PAYMENT COPY $79,000.00.zip |
| *** *** ****** New Order PO#HKPOORD002361-2362 | New Order PO#HKPOORD002361-2362.zip |
| AW: PO-000001306 | PO-000001306.z |
| Certificates Of Analaysis | Certificates Of Analaysis.rar |
| Commercial and technical offer | Commercial and technical offer.rar |
| New enquiry. | MML-REQUEST FOR QUOTE_(IC 2114).IMG |
| Payment. (******* BANK ACCOUNT) | INVOICE_VM33020031052023.IMG |
| PAYMENT SWIFT //50% ADVANCE PAYMENT// | CCB SWIFT $40K.rar |
| Purchase Order PO-5093027b | PO-5093027b.r02 |
| RE: Offer Request | RE Offer Request.rar |
| Re: order | 33690120233531MES_S Quote.z |
| RE: ORDER JMG 06-01-2023 | ORDER JMG.IMG |
| Request V-23-VJU-028-D/01 for the Voge Julie | V-23-VJU-028-DGFGRz9eenOICt9Y-xlxs.rar |
| Signed Authorization letter | Signed Authorization letter.rar |
| Urgent (TT draft copy) | MT103-draft.r20 |
| swift copy | swift.LZ |
| RE: ****** SHIPPING COMPANY | MSDS-112703pdf.7z |
| About the payment | Remittance Copy#0128762534.pdf.gz |
| DHL awb – 4026735019 | DHL awb – 4026735019_20230525.gz |
| DHL AWB – 5032675620 | DHL AWB – COMMERCIAL INVOICE, BILL OF LADING, ETC DOC.gz |
| Fw: Due Invoice Payment | 20230106.8203849061-mt103-Trf.gz |
| Documentos | ##documentos.XLSx.img |
注意するキーワード: 「運送状」
今週の注意するキーワードは「運送状」である。今週は特定の運送業者に偽装した韓国語の件名(「UPS Korea-att 運送状内容」)が大量に拡散したことが確認された。このメールの内部には、.SCR 拡張子の不正なファイルが添付されており、情報窃取型マルウェアとして実行すると、正常な aspnet_compiler.exe プロセスを実行して、情報窃取マルウェアである AveMaria を aspnet_compiler.exe プロセスに注入して情報窃取の振る舞いが実行される。ユーザーはメールの添付ファイル閲覧時、注意すべき拡張子の有無と、不自然に翻訳されたような韓国語であるかを注意深く見ていく必要がある
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- https[:]//submit-form[.]com/nv7B93q6
- https[:]//www[.]spgiutar[.]com/mmc/fdpxoGur23f[.]php
- http[:]//www[.]miassmebel-neo[.]ru/ZaZa/port25[.]php
- https[:]//aphal[.]000webhostapp[.]com/acr/PDF
- https[:]//submit-form[.]com/Lc0iCuYC
- https[:]//cardiofitness[.]guru/maersk/mk[.]php
- https[:]//submit-form[.]com/t5Rk3sUT
- http[:]//vanchuyentrungviethhc[.]com/wp-admin/YSL/Daemon[.]php
- https[:]//sercex[.]com/justgm[.]php
- https[:]//formcarry[.]com/s/8AHxxLifK2
- https[:]//submit-form[.]com/b8nhWuB2
- https[:]//formspree[.]io/f/xrgvdwqd
- https[:]//www[.]vvl-badvilbel[.]de/wp-content/plugins/3ae9ce9eaa8d4ce9a0f81e400863ce6b/y/mm/mdx/mmd/exee[.]php
- https[:]//naehpa[.]com/wp-admin/QY/port25[.]php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計