AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年05月21日から05月27日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、偽のページ(FakePage, 79%)が最多数を占めていた。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下の<偽のログインページ C2>を参照 二つ目次に多かったタイプはトロイの木馬(Trojan, 7%)であった。そして、AgentTesla、FormBook のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 5%)とダウンローダー(Downloader, 5%)、脆弱性(Exploit, 3%)、ワーム(Worm, 1%)が確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは RAR、Z、GZ、7Z などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。
配布事例
2023年05月21日から05月27日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| アカウントパスワード警告 | Verify.shtml |
| [FedEx®] 配送通知 – ドキュメント到着通知? | Shipping Document_Bill of Lading.Pdf.htm |
| 返信 Re:(Scanned) Doc~Original Copy – FYI | Original Shipping document BL, PL, CI_.htm |
| Re: Purchase Order-#3687364 | PO_#3687364.shtml |
| [FedEx] Customs Payment Guide (Tax Invoice) | AWB4698559.html |
| Quote Request For New Project LLC | AIS_Purchase Agrmt_pdf.htm |
| Re: Fwd: URGENT: PROOF OF PAYMENT | PROOF OF PAYMENT.html |
| FW:ATTACHED SWIFT COPY 5/18/2023 11:19:22 p.m | Payment copy.html |
| DHL Shipment Document Arrival [AWB#*****378434] | ShippingDocumentDHL.html |
| CIPC Annual Returns-K2023739309 Tracking reference: 9382857991 | COR15.1A.html |
| Come on, quickly withdraw your +16817$! The account is not blocked yet | Your_accounts_with_a_balance_of_22988%24_will_be_blocked-1103.pdf |
| SWIFT COPY RECEIPT | PaymentSwiftCopy.html |
| Regarding payment for Po No. : 4500250395 | ParcelArrivalShipment.html |
| Re: Congratulations You Have WON !!! | Official Reward Payment Notification.pdf |
| Re: Re:Wire confirmation copy | Wire Confirmation copy.pdf |
 DHL Cargo arrival information [AWB#*****378761] |
invoice.html |
| Monthly statement 23/05/23 | Statement0523.html |
| Re: Purchase Order | Quote.html |
| Please see the attached document for our paid inv # 10047 | Remittance_Statement_90493.htm. |
| Email delivery activity log. | Email delivery activity log.shtml |
| ❶ Mailbox Quota almost Full. | entec more storage.html |
| 电子发票通知 | SF_INV.html |
| New Quotation Request PO# 220979150/Contract | PO# 220979150_Contract.HTM |
| DHL Shipment Notification – Shipping Document – Shipment Tracking | Original Shipping Doc#393929.pdf.htm |
| Re: Fwd: brass wire(payment advice) | Payment advice.html |
| Unpaid invoices | INVOICE .SHTML |
| Invoice for review from *******@*****e*c.kr | samilenc_invoice3271.html |
| Find Attached For Your Urgent Attention | P1008357421.html |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| [DHL] 収入申告受理内容書(受理前納付) – 787988793436 | DHL TAX INVOICE..rar |
| RECEIPT FOR INVOICE MC20230414A (22MAY2023) | RECEIPT FOR INVOICE.rar |
| Request for Quotation 94573-LAR&SAF CAPSA/BIO OILS | RFQ-945730101-B0000005023019.cab |
| Shipment Delivery Address *(Required) contact form | Required contact form..rar |
| RE: RE: FW: 2023/7/24 order shipment | New24 order shipment.docx |
| İş Bankası-19.05.2023 08:00-22.05.2023 07: | 53060033570_20230522_08055750_HesapOzeti.pdf.lzh |
| VESSEL : DANICA // PISTON RING + GASKET | DANICA PISTON RING + GASKET.rar |
| ORDER INQUIRY | SKMB67091253Y.ISO |
| RE: REMT 049835 SWIFT MT103 | MT103 REF USD .7z |
| FW: Purchase Order Shipped | HOBL_WEB230130599.7z |
| Inquiry for new order | scan.zip |
| Please review your July 2022 offer | PLAYGROUND PROJECT – 2022089928 – KDF.7z |
| Re: Confirmación pedido de compra | nuevo pedido 008794897.xlsx.img |
| Confirming – de pago. | 008s06523610054680b6011375030062022.rar |
| RE: Faktur Mei 2023. | PT230522.PDF.rar |
| payment confirmation copy | $153,430.00.pdf.rar |
| RE: Νέα παραγγελία | 0324352432563.zip |
| CV Debora Lopez | Curriculum Vitae Debora lopez.zip |
| Complain Case: Issues Of Damaged Goods | Pictures Of Damaged Goods__________________pif.Z |
| DHL Shipment Notification | DHL AWB #5401214457 – 20230526.gz |
| Fw: PAYMENT COPY | 20230524.012563647892033.TRF.gz |
| New Order PO-371/2020 | PO-37101020-PDF.rar |
| PASSWORD EXPIRED | Quotation##2005023.r01 |
| PO-000001306 | PO-000001306.z |
| Purchases Order // PO23100080 | PO23100080-pdf.gz |
| Purchases Order // PO971100044 | PO971100044.gz |
| RE; Advice from Standard Chartered Bank | MT103.xls |
| RE: CONTRACT FOR SUPPLY CONFIRMATION // PO#332022-23 | SUPPLY CONTRACT for PO#332022-23.pdf.z |
| RE: New Shipment Order / Urgent Request Approval of Draft Shipping Docs (BL/SZOE23050007) | SHIPPING DOCS.xls |
| RE: NEW SHIPMENT UPDATE // 1688 // ISF DETAILS | BL 1688.pdf.z |
| RE: order | QU10001005597.z |
| Re: Petrofac Payment Swift For Overdue Invoices | Payment Swift-pdf.gz |
| Re: URGENT: New Orders (PO#1164031) | PO#1164031.r17 |
| Re[2]: super nice photos don’t show | priv-phot.jpg.scr |
| RE:Purchase Order No. I20220052 | Order No. I20220052.xls |
| Your latest DHL invoice : KHIR001231448 for ******.shop | KHIR001231448.pdf.z |
注意するキーワード: 「Zimbra」
今週の注意するキーワードは「Zimbra」のログインページに偽装したフィッシングメールである。Zimbra はメールサーバーと Web クライアントを含んだ協業ソフトウェアである。攻撃者は、攻撃対象ユーザーのアカウント情報を窃取するために、Zimbra ログインページに偽装してフィッシングメールを配布していた。今回確認されたフィッシングメールは、ユーザーが本文にある「現在のパスワードを維持」ボタンをクリックすると、Zimbra ログインページに偽装したフィッシングサイトにリダイレクトするように設計されていた。そのため、ユーザーは ID/PW などの個人情報を Web ページで入力するときは、個人情報の入力を要求するページのアドレスが、信頼できるサイトであるかを確認する必要がある。
- フィッシングアドレス : https[:]//walkingmapsqld[.]com/.home/edit/battle/form.php
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- http[:]//liagestoraimobiliaria[.]com[.]br/wp-content/ex/exee[.]php
- https[:]//www[.]spgiutar[.]com/fe/fdpxoGur23f[.]php
- https[:]//submit-form[.]com/M9g3KLqI
- https[:]//formspree[.]io/f/xrgvdwqd
- https[:]//lightup-solar[.]com/gods/dhll%20(1)[.]php
- https[:]//sercex[.]com/justgm[.]php
- https[:]//submit-form[.]com/XpImoBBB
- https[:]//agrotehnika-mp[.]ru/@T/Daemon[.]php
- https[:]//submit-form[.]com/GOXYSUaX
- https[:]//alliedbmcltd[.]co[.]uk/hiw[.]php
- https[:]//walkingmapsqld[.]com/[.]home/edit/battle/form[.]php
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 総計