Posted By ATCP , 2025년 04월 03일

韓国の国税庁を騙り配布されているフィッシングメールに注意

最近 AhnLab SEcurity intelligence Center(ASEC)では、韓国の国税庁(ホーム Tax)を騙るフィッシングメールが配布されていることを確認した。メール本文は電子税額計算書の内容を偽装しており、確認のために添付された HTML ファイルを開くよう要求する。

韓国の国税庁を騙るフィッシングメールは過去から何度も配布され続けており、件名には必ず「NTS_eTaxInvoice」が含まれていた。これらのフィッシングメールは EXE マルウェア、ドキュメントマルウェア、LNK マルウェアなど様々なタイプのマルウェアを配布する。ASEC では、これらの内容を複数のブログを通じて何度も公開してきた。

[注意] 韓国の国税庁を騙る不正なメールが大量に拡散 (Ammyy、CLOP)(韓国語にて提供)
韓国の国税庁「電子税額計算書」を騙るマルウェアの配布(韓国語にて提供)
韓国の国税庁を騙るメールを通じて Lokibot マルウェアが拡散中
韓国の国税庁を騙るフィッシングタイプのマルウェア動向レポート(韓国語にて提供)

[図1] フィッシングメールの本文

今回の事例では HTML ファイルを配布しており、添付された HTML ファイルの名前はすべて「NTS_eTaxInvoice.html」で同じである。HTML ファイルを開くと税額計算書の内容とは無関係なページが表示され、ユーザーの電子メールアカウントとパスワードの入力を要求する。

[図2] HTML ファイルを開くと表示される画面

[図2]の「View Document」ボタンをクリックすると、ユーザーの電子メールアカウントおよびパスワードが HTML ファイル内部に含まれた Telegram Bot Token と Chat ID の組み合わせを通じて攻撃者のチャットルームに送信される。Telegram チャットルームは作成や管理が容易であり、費用が発生しないため攻撃者が頻繁に使用する。

[図3] (上) HTML 内部に含まれた Telegram Bot Token と Chat ID (下) 攻撃者のチャットルームに情報を送信する画面

出どころが不明なメールを閲覧する際、ユーザーは特に注意する必要がある。信頼できるメールの送信者かどうかを確認し、疑わしいリンクや添付ファイルを開かないようにすることが重要である。特に、個人情報や金融情報を要求してくるメールはより慎重に処理するべきである。最近では攻撃者が正常なプラットフォームを C2 サーバーとして利用する事例が増加し続けており、これらの攻撃は検知が困難である場合があるため、ユーザーにはさらなる注意が求められる。

IOC 関連情報

MD5

01c466ac5ea1817f23d7bbe5e46fef87

10e7ffbdcf6a3a9cd34ce965efc5e2a7

60de322d3291b416f173d3f543a564fe

63cf524262372fc0e9db338d1d9264ad

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: フィッシング/スキャム

Tagged as: テレグラム, フィッシング, ホーム Tax, 国税庁, 税額計算書, 税金, FakeLogin, HTML, NTS_eTaxInvoice, Telegram