AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年06月11日から06月17日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、最も多かったタイプは AgentTesla、FormBook、AveMaria のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 51%)であった。2番目に多かったタイプは偽のページ(FakePage, 18%)であった。攻撃者がログインページ、広告ページなどの画面構成やロゴ、フォントをそのまま模倣しており、ユーザーにアカウントとパスワードの入力を誘導している。最終的に攻撃者の C2 アドレスに情報が転送されたり、偽のサイトへの接続を誘導している。3番目に多かったタイプはダウンローダー(Downloader, 7%)であった。ダウンローダーはインフォスティラー、バックドアなどの様々な追加マルウェアをダウンロードしていた。これ以外に、トロイの木馬(Trojan, 7%)、脆弱性(Exploit, 3%)が確認された。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML、SHTM、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは RAR、Z、GZ、7Z などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。
配布事例
2023年06月11日から06月17日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| (送り状) 原本 BL, PL, CI_AWB#41********18 | DHLSHippingDocument.pdf.html |
| Paid Invoice | PAID INVOICE.shtml |
| EFT Remittance Advice Notification for Voucher#70828- Thursday, June 15, 2023 5:51 p.m.. | EFT RemittanceAdvice-susung.kim.shtml |
| FedEx Shipment Notification | FedEx SCANNED ORIGINAL DOC.html |
| RE: RE: Re: Payment | Confirmation.html |
| FYI: AWB_Shipment Arrival Notice Ref#Jhpark00906142023 | DHL AWB SHIPMENT#Jhpark00906142023 .docx.shtml |
| IT3(b) Sertifikaat | IT3(b)-Certificate.pdf.html |
| FW:ATTACHED SWIFT COPY 6/10/2023 2:27:07 p.m. | AWDPAYMENT-RECEIPT.html |
| FYI: AWB_Shipment Arrival Notice Ref#*****00906142023 | DHL AWB SHIPMENT#*****00906142023 .docx.shtml |
| JUNE P.O _3000000821 | JUNE P.O _3000000821.Shtm |
  OCHRONA NIELETNICH |
0077628.pdf |
| Action Required: You Have New Pending Payment | American_Express_Account_Credited_New_Payment.html |
| Cosmax USA PO# 9378784733 | PO#9378784733.pdf.htm |
| Your DHL Express shipment request | Shipment-Order.html |
| [FedEx] 関税納付案内(Tax Invoice) | FedEx.html |
| DHL Your delivery address is wrong. | AWB #0987654347.htm |
| EMS Shipping电子发票已成功发行 | EMS.shtml |
| FedEx Shipment Arrival Notification | FedEx shippingdoc.htm |
| Re: Fw: Payment Remittance | 629-ACH-2023-0616-153214.shtml |
| Tax Audit Investigation Excersise As Per Finance Act 2022; Issued To ******@*****.biz | Tax Demand Notice.html |
| Enterprise No: K2023819613 Annual Returns Document Ref: 9388661146 | COR15.1A.html |
| RFQ | RFQ.pdf.html |
| Re: New Purchase Order | New Purchase OrderI_.htm |
| PO 20230610 #June Shipment | Original Shipping document BL, PL, CI_.htm |
| – Please find Invoice-A00420427 Received 6/12/2023. | -Due inv038976-ks1010.shtm |
| shipping document with payment 16 Jun 2023. | dhl-shipment_invoice PI-Bill Of Lading#998454.htm |
| customs declaration information | FedEx .html |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| Re: 新たな送り状 | Invoice.zip |
| Re: CONFM PAYMENT | Booking_3461005pdf.7z |
| Confirm quote | LIST1101.IMG |
| Invitation to court | Invitation to court file DC00089087098.rar |
| New order sample specification | Catalog-samples.pdf.zip |
| Re:RANGOON TOURS PTE LTD | Booking_2078511pdf (1).7z |
| BBVA-Confirming Facturas Pagadas al Vencimiento | Facturas Pagadas al Vencimiento,pdf.cab |
| OOCL : CARGO -Arrival Notice | Cargo details and manifest.rar |
| order | 10409R4.IMG |
| GREEN WAVE’S INQUIRY, MT DOVER, Our ref: 00055306900123111 /ME00598 | Our ref 00055306900123111 ME00598.rar |
| Invitation to court/ 法庭邀請 | Invitation to court file DC00089087087.rar |
| DHL Shipments & Documents 00499892998 | doc 00499892998.rar |
| GMP Purchase Order June 2023 | PURCHASE ORDER 2023.docx |
| New Requisition | SKM3109636ET.ISO |
| Request for quotation | Order_PO52632h25633jpg.zip |
| Request for Quotation/PJ103745FD5401 | PJ103745FD5401 pdf.lzh |
| Request for Confirmation of Product Availability | Product.iso |
| Re: ORDER NEEDED | PRICE INQUIRY ITEMS.zip |
| Purchase Enquiry | ESP820183RD90.IMG |
| YÊU CẦU BÁO GIÁ | yêu cầu_01TTK0001.7z |
| RE:Regarding Remittance | bankslip.XZ |
| My Order | NEW ORDER.rar |
| Arrival Notice for ella – Shipment Release Documents Attached | Shipment_order87363874849_document_file93837374.7z |
| Commercial Offer | Commercial Offer.rar |
| DHL AWB – 5016245397 | Dhl Awb – COMMERCIAL INVOICE, BILL OF LADING, ETC DOC.gz |
| Documents enclosed | Documents enclosed.rar |
| Inquiry | Inquiry.rar |
| New Purchase Order | PO.xls |
| New Quotation | New Quotation.rar |
| order confirmation | order# 23713845-S6.z |
| overdue invoice | overdue invoice.rar |
| RE: order | 3EI-QTN-2023-615.IMG |
| RE: OVERDUE INVOICE | OVERDUE INVOICE.xls |
| Re: Quotation | 40023540MES_S Quote.gz |
| RE:GEO-CHEM | CTX Life Sci – Saxagliptin for Present Pharma | GEO-PO-ST352___108kg Simethicone (DDP, USA)_CIP Air.lzh |
| RE:SHIPPING DOCUMENT/PROFORMA INVOICE AND PACKING LIST | shipping docs.xls |
| Remittance Slip | Remittance Slip.rar |
| RFQ//USD//EURO//PFIZER MANUFACTURING BELGIUM | RFQUSDEUROPFIZER MANUFACTURING BELGIUMpdfr03.r04 |
| RFQ- 7246- New Inquiry- PFIZER MANUFACTURING// BELGIUM CIF_Belgium | Atlanta Packaging Technology & MachinaryBANK ACCOUNT DECLARATION.r02 |
| World Company Register | World Company Register.rar |
| DHL On Demand Delivery | DHL_8722323008.PDF.IMG |
注意するキーワード: 「FedEx」
今週の注意するキーワードは「FedEx」である。攻撃者は販売業者に偽装して、FedEx のフィッシングメールを拡散させていた。添付された「FedEx SCANNED ORIGINAL DOC.html」では、Adobe PDF ログインページに偽装したページが実行され、ユーザーの ID/PW 入力を要求していた。ユーザーはメールの添付ファイル閲覧時、ファイル名を注意して見る必要があり、メールの件名と添付ファイルの関連があるか注意する必要がある。
- フィッシングアドレス : https[:]//formspree[.]io/f/myyazkbv
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- https[:]//sattaonmobile[.]com/new/1drv[.]php
- https[:]//dovercorrp[.]com/zong/river[.]php
- https[:]//hanbayinc[.]com/xs/omi/send[.]php
- https[:]//rsm[.]rsmsolutions[.]nl/wp-admin/zZ/port25[.]php
- https[:]//www[.]spgiutar[.]com/mmc/fdpxoGur23f[.]php
- https[:]//chat[.]junglist[.]us/css/send[.]php
- https[:]//gdmc[.]africa/X/cloudlog[.]php
- https[:]//foun-oger[.]serveblog[.]net/xmd/
- https[:]//acliftunnel[.]tk/woody/net[.]php
- https[:]//tsushi-log[.]main[.]jp/cgi/mt/lib/MT/Template/tsushi/adobe/hins[.]php
- http[:]//goodwallcovering[.]com/exee[.]php
- https[:]//y6i34kids1992[.]bond/lot/lolx[.]php
- https[:]//www[.]cordobamusicgruop[.]com/zop/fdpxoGur23f[.]php
- https[:]//submit-form[.]com/XLknrnS0
- https[:]//submit-form[.]com/rht2TZcf
- https[:]//submit-form[.]com/ghJmPlKG
- https[:]//submit-form[.]com/B9OtbySl
- https[:]//formspree[.]io/f/myyazkbv
- https[:]//formspree[.]io/f/xzbqnelj
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計