AhnLab Security Emergency response Center(ASEC)では、ASEC 自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年06月04日から06月10日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。
フィッシングメールの脅威タイプ
一週間のフィッシングメールの添付ファイルのうち、ダウンローダー(Downloader, 37%)が最も多い数を占めていた。ダウンローダーは、インフォスティラー、バックドアなど様々な追加マルウェアをダウンロードしていた。その次に多かったタイプは AgentTesla、FormBook、AveMaria のような Web ブラウザ、メールおよび FTP クライアントなどに保存されたユーザー情報を流出する情報窃取マルウェア(Infostealer, 29%)であった。3番目に多いタイプの偽のページ(FakePage, 18%)は攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2>参照 これ以外にもトロイの木馬(Trojan, 15%)、脆弱性(Exploit, 1%)が確認された。フィッシングメールの添付ファイルを利用した脅威タイプとその順位は<ASEC 週間マルウェア統計>で毎週公開しているマルウェアの配布順位と類似している。
添付ファイルの拡張子
上記で説明した脅威がどのようなファイル拡張子でメールに添付されて配布されるのかを確認した。偽のページは Web ブラウザで実行されなければならない Web ページスクリプト(HTM、HTML、SHTM、SHTML)ドキュメントで配布されていた。情報窃取型マルウェアとダウンローダーマルウェアを含むその他のマルウェアは RAR、Z、GZ、7Z などの圧縮ファイルを含む々なファイル拡張子で、メールに添付されていた。
配布事例
2023年06月04日から06月10日までの一週間の配布事例である。偽のログインページタイプと情報流出、ダウンローダー、脆弱性、バックドアを含むマルウェアタイプを分けて紹介する。メールの件名と添付ファイル名に表示される数字は一般的なものであり、固有 ID 値としてメールの受信者に応じて異なる場合がある。ハングルの件名の配布事例も確認された。グローバルに英文の件名および内容を配布するのではなく、韓国国内のユーザーを対象にした事例である。
事例: 偽のログインページ(FakePage)
| メールの件名 | 添付ファイル |
| [FedEx] 関税納付案内(Tax Invoice) | Tax_Notification.html |
| [大韓航空貨物] 送り状原本および包装リスト通関。 | Original-invoice_lee_********.htm |
| DHL 送り状および配送到着文書 (ARRIVAL NOTICE) | DHL AWB_INV.shtm |
[DHL] 収入税金納付締め切りのご案内 – (INV and AWB)  |
DHL SCANNED ORIGINAL DOC.htm |
| Come on, quickly withdraw your +25,176$! The account is not blocked yet | Your_accounts_with_a_balance_of_27125%24_will_be_blocked-2183.pdf |
| Invoice, PI, bill of lading (shipping documents) | FedEx Import Tax Invoice.html |
| Action Required: Your Account Requires Verifying Some Information | american express-mail-security.html |
| An Urgent Review Requires Your Attention Immediately | wellsfargo-account-protection-alerts.html |
| You have 24 hours to withdraw +23.536$ | The_main_thing_is_to_have_time_to_withdraw_your_15494%24-8235.pdf |
| RE: TR: Fuite dossier FILLAT | P.pdf |
| NEW ORDER (PO9924RHN43) | PO1124RHN43.html |
| +14,857$ will be cancelled in 24 hours | Come_on%2C_quickly_withdraw_your_21778%24_The_account_is_not_blocked_yet-12459.pdf |
| You have a New Message | USAA NEW DOCUMENT.pdf |
| JUNE P.O _3000000821 | JUNE P.O _3000000821.Shtm |
| Your account already has +19,741$ | 21%2C731%24_burn_out_in_24_hours-4259.pdf |
| Shipment Booking Confirmation – Bill of Lading Document – Original Scan copies of Document | Scanned Copies of Packing List_ETD.Pdf.htm |
| DHL AWB 到货通知#310479442 | DHL AWB#310479442.html |
| INVOICE & SHIPMENT – 9 Jun 2023 | dhl-shipment_invoice PI-Bill Of Lading#998454.htm |
| Cosmax USA PO# 4500926140 | PO#4500926140 & #0018288.pdf.html |
| FW:ATTACHED SWIFT COPY 6/9/2023 2:33:49 p.m. | AWDPAYMENT-RECEIPT.html |
事例: マルウェア(Infostealer、Downloader など)
| メールの件名 | 添付ファイル |
| 国税庁 Hometax から発行、発送された電子(税金)計算書です | NTS_eTaxInvoice·pdf.zip |
| 見積依頼の件 | 見積依頼の件.7z |
| Tax Invoice – [DHL] 수입신고수리내역서(수리전납부) | Tax Invoice.rar |
| Pending DHL Shipment Notification REF: 02/6/2023 | Shipping doc.img |
| Re: New Order PO# DTD28102022 (SO# 11280). | Re New Order PO# DTD28102022 (SO# 11280)..rar |
| Shipment Delivery Address *(Required) contact form | Shipment Delivery Address.rar |
| Management Review and the IQMP Compact Checklist -IQMP DP571911277 | scan16431643.zip |
| FWD: PAYMENT SWIFT | ISLAMIC BANK SWIFT.pdf.z.rar |
| Balance Payment – 06062023 | 06062023_8091526433_0010017265.gz |
| order | 10790531TEZ_S Quote.z |
| Fwd: New enquiry | E700 quotation20111209.r09 |
| RE: New Shipment Order / Urgent Request Approval of Draft Shipping Docs (BL/SZOE23050007) | DOCS.r15 |
| Arrange balance payment | bank SWIFT massage.rar |
| Fw: Outstanding Payment | Payment Advice – 8243001970.gz |
| Inquiry | Inquiry.rar |
| New Purchase order sanseo.shop | Purchase Order 2023.0608.pdf.z |
| New PO(Trial) – 230102 | PSC_ A-2303310.rar |
| LIABILITY POLICY, 07/01/2023 – 07/01/2024 NM89515177 | scan18871887.zip |
| RE: SWIFT & ADVICE – BALANCE AMT PAID —-IMP NO. 31/23-24 | Transaction receipt.xls |
| Re: RE : New Order_PO234 | PO450.ISO |
| New Purchase order (J.Global) no. 155362-A | NEW_PO155362A_JGlobal_Pdf.rar |
| New enquiry | 40023540MES_S Quote.img |
| FW:Saudi Aramco.co//ENQ-0090/F/8 | Saudi AramcoENQ-0090F8.PDF.r02 |
| RE: Confirm revised invoice to proceed with payment ASAP | payment invoice-pdf.gz |
| DHL Express Awb no: 2284285290 Información de declaración de microexportación | 2284285290 ETGB_IHRACAT.7z |
| Purchase Order No 1600064995 _ 00000000 | Purchase Order No 1600064995 _ 00000000.pdf.GZ |
| RE: Booking | Booking_002990pdf.7z |
| RFQ of CFP Crude Oil Tank Project: 19P3792A-M11A.01A_Z1:(A/G) | Crude Oil Tank Project_General Spec.gz |
| Commercial Invoice and Bill Of Lading. | Bill Of Lading..rar |
| New Inquiry | New Inquiry.rar |
| 5314 Statement 0013167791 for Remittance | 5314 Statement 0013167791.zip |
| LOI/North Oil Company 6000003101 | RFQ No. 6000003101.PDF.z |
| RE: RE:Sonak Corporation new Order | FOB $Corporation new OrderPDF.r00 |
| RE: RFQ-Huada Superabrasive Tool Technology Co., Ltd | RE RFQ-Huada Superabrasive Tool Technology Co., Ltd00PDF.r00 |
| Urgent inquiry | QUOTE_700040133.IMG |
| RE: BOOOKING PAYMENT | Booking_826111pdf.7z |
| PO FOR SC310962Z105 | SC310962ZI05.IMG |
| Express Delivery Arrival Notification attached #3178 June 2023 | Shipment Delivery Notification and Release Documents.img |
| Multimedia-MMS | img-20170403-0052,jpeg.zip |
| DHL Express – the commercial invoice 2898435030 157662876374 | Commercial_CVS_inv.03.04.2017.zip |
| PO 230606 | ORDER-230606_List.pdf.z |
| OOCL Arrival Notice At Final Destination: OOLU4051770254 | COSCO SHIPPING ANDES – 017E | BL2716915060623.PDF.r00 |
| New Order | NEW PO – 4610926543.gz |
| RE: HOLIDAY TOURS REQUEST | Booking_07_10623pdf.7z |
| Dhl Notification for shipment | DHL – COMMERCIAL INVOICE, BILL OF LADING, ETC_DOC.gz |
| DHL AWB – 5032675892 | DHL AWB 5032675892.gz |
注意するキーワード: 「Hometax 税金計算書」
今週の注意するキーワードは「Hometax 税金計算書」である。5月は Hometax の申告月であり、攻撃者は国税庁に偽装して、多くの一般ユーザーに GuLoader マルウェアを配布していた。添付された「NTS_eTaxInvoice-pdf.zip」圧縮ファイル内部には EXE 形態で同一ファイル名を持つ GuLoader マルウェアが存在する。GuLoader マルウェアの機能は、バックドアもしくはインフォスティラーマルウェアを追加でダウンロードする形態である。解析当初には NanoCore RAT ツールがダウンロードされており、攻撃者は NanoCore RAT を通してユーザーの PC を遠隔操作することができていた。そのため、ユーザーはメールに添付されたファイルを閲覧する際は、出どころを確認しなければならず、特に EXE 拡張子のような実行ファイル形態の場合、実行する際に細心の注意を払わなければならない。
NTS_eTaxInvoice-pdf.exe (ED9A4BBACD25426E9403E7847619F5BE) V3 ファイル検知情報/エンジンバージョン – Trojan/Win.GuLoader.R585076 (2023.06.07.02)
偽のページ(FakePage) C2 アドレス
偽ページのうち、攻撃者が作ったログインページタイプにおいては、ユーザーが自分のアカウントとパスワードを入力すると、攻撃者サーバーにその情報が転送される。以下のリストは一週間で配布された偽のログインページの攻撃者の C2 アドレスである。
- https[:]//regulateantelope[.]sa[.]com/slim/fdpxoGur23f[.]php
- https[:]//regulateantelope[.]sa[.]com/funn/fdpxoGur23f[.]php
- https[:]//sattaonmobile[.]com/new/1drv[.]php
- https[:]//submit-form[.]com/ghJmPlKG
- https[:]//naehpa[.]com/wp-admin/xX/frehot[.]php
- https[:]//californiaapostillenotary[.]com/wp-admin/AA/fedex[.]php
- https[:]//formspree[.]io/f/xoqzoajq
- https[:]//naehpa[.]com/wp-admin/QY/port25[.]php
- https[:]//submit-form[.]com/GPg6ZA4G
- http[:]//175[.]178[.]24[.]223/wp-content/themes/finl/lead/access1[.]php
- https[:]//formspree[.]io/f/myyazkbv
- https[:]//submit-form[.]com/XLknrnS0
フィッシングメールを利用した攻撃は、ユーザーが偽のログインページにアクセスしたり、マルウェアを実行させたりするための送り状、税金納付書など、ユーザーを欺きやすい内容に偽装して配布される。偽のログインページは正常なページと似せており、時間をかけてさらに精巧になっている。マルウェアは圧縮ファイルフォーマットでパックされており、セキュリティ製品の添付ファイル検知を回避している。ユーザーは不正なフィッシングメールによる感染の被害にさらされないよう、最近の配布事例を参考にして特に注意しなければならない。ASEC 分析チームは以下のようなメールのセキュリティ規則を推奨している。
- 確認の取れない送信者からのメールに含まれたリンク、添付ファイルは内容が信頼できると確認されるまでは実行しない。
- ログインアカウントをはじめとする、プライベートな情報は信頼できるまで入力しない。
- 見慣れないファイル拡張子の添付ファイルは信頼できるまで実行しない。
- アンチウィルスをはじめとしたセキュリティ製品を利用する。
フィッシングメール攻撃は MITRE ATT&CK フレームワークでは、以下の Techniques に該当する。
- Phishing for Information(Reconnaissance, ID: T1598[1])
- Phishing(Initial Access, ID: TI1566[2])
- Internal Spearphishing(Lateral Movement, ID:T1534[3])
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 総計