AhnLab ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年5月3日(月)から2021年5月9日(日)までに収集された1週間の統計を整理する。
大分類の上ではインフォスティーラーが72.7%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.0%、Coin Miner が8.2%、ランサムウェアが1.7%、ダウンローダーが1.3%と集計された。
Top 1 – AgentTesla
AgentTesla は25.1%を占めており、1位となった。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。
- mail.barraprime[.]com
sender: info@barraprime[.]com
receiver: info@barraprime[.]com
user: info@barraprime[.]com
pw: 1mar****17 - mail.alphaforge[.]net.my
sender: hr@alphaforge[.]net.my
receiver: hr@alphaforge[.]net.my
user: hr@alphaforge[.]net.my
pw: alp***r01 - mail.enerzi[.]co
sender: sales@enerzi[.]co
receiver: sales@enerzi[.]co
user: sales@enerzi[.]co
pw: Ener****123!#
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- ContractReferenceAssemblyAttribute.exe
- IMG_06_177_025.exe
- Item List.exe one.exe
- Price list update.exe
- PurchaseInquiry040521.exe
- PURCHASE-ORDEROFITEMS990676.exe
- PurchaseOrderPDF.exe
- SWAU7585755.SCR
Top 2 – Lokibot
今週は Lokibot が17.3%で、2位を占めている。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
スパムメールを通して配布される他のマルウェアのようにスパムメール形式で配布されることにより、類似した配布ファイル名を持つ。
- Darim Tech Quote.exe
- DKOL0010-BB011.exe
- DKOL0010-BB011.idw.exe
- EVERCHEM.exe
- FREIGHT INVOICE -MV AN HAI V2102.exe
- List of quotation items.exe
- MV SILVER GLOBE Hire.exe
- ORDER.exe
- PO 2105003-021.exe
- PO 210506-112.exe
- PO 210506-201.exe
- PO HG549-424J_01.exe
- PO.exe
- po.exe
- PO202105-04NY(Sun)-056].exe
- quotation.exe
- QUOTATION-FORM.exe
大半の Lokibot マルウェアの C&C サーバーは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://104.168.175.179/ghost1/panel/fre[.]php
- hxxp://104.168.175.179/nadis/panel/fre[.]php
- hxxp://104.168.175.179/oga/panel/fre[.]php
- hxxp://104.168.175.179/smick/panel/fre[.]php
- hxxp://173.208.204.37/k[.]php
- hxxp://209.141.50.70/D3/13/pin[.]php
- hxxp://alhajikudi.com/life/five/fre[.]php
- hxxp://finacafe.net/OG/news/school/boy/choo/fre[.]php
Top 3 – Formbook
Formbook はインフォスティーラー型マルウェアとして11.7%を占めており、Top 3に上がった。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- NEXT LOT 40FT CONTR_docx.exe
- 송장2021.exe (翻訳:送り状2021.exe)
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を奪取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.chaytel.com/zui/
- hxxp://www.bunies3.com/i6rd/
- hxxp://www.contorig2.com/u8nw/
- hxxp://www.contorig2.com/uv34/
- hxxp://www.floryi.com/nyr/
- hxxp://www.forenvid.com/vns/
- hxxp://www.joomlas123.info/3nop/
- hxxp://www.jumlasx.xyz/op9s/
- hxxp://www.magentos6.com/sqxs/
- hxxp://www.mex33.info/ainq/
Top 4 – Glupteba
8.2%を占めている Glupteba は、Golang で開発されたマルウェアである。多数の追加モジュールをダウンロードし、複数の機能を持っているが、実質的には XMR (モネロ)CoinMiner をインストールする、CoinMiner マルウェアである。
Glupteba は、実行すると UAC Bypass を経て TrustedInstaller の権限を利用してシステム権限を取得する。そして、C:Windowsrsscsrss.exe の名前で正常なプロセスに偽装し、システムに常駐する。その後、追加モジュールをダウンロードするが、その対象にはプロセスおよびファイルを非表示にするためのルートキットドライバがあり、最終的にインストールされるものとしては、XMR CoinMiner および SMB の脆弱性を利用した伝播のための Eternal Blue パッケージがある。
現在確認されている Glupteba の大半は、PUP を通してダウンロードされる方式で拡がっている。PUP を通して拡散しているにもかかわらず、過去のブログで述べた MalPe パッカーのアウトラインを持つという点が特徴である。
参考に、MalPe パッカーのアウトラインを持つマルウェアには大きく分けて Exploit Kit を通して拡散される方式と、PUP および以下の Vidar マルウェアの拡散事例のように正常なプログラムに偽装して拡散される方式がある。
[追加モジュールのダウンロードアドレス]
- hxxps://spolaect[.]info
[C&C サーバーアドレス]
- hxxps://sndvoices[.]com
- hxxps://2makestorage[.]com
Top 5 – RedLine
先週に続き、RedLine マルウェアが7.4%で、5位を占めている。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を奪取し、C&C サーバーから命令を受け取り追加のマルウェアをダウンロードすることがある。
以下は、確認された RedLine の C&C サーバードメインである。
- hxxp://87.251.71[.]62
- hxxp://briaseynan[.]xyz
- hxxp://domopaniama[.]xyz
- hxxp://nshoreyle[.]xyz
- hxxp://redworksite[.]info
- hxxp://rrddasllea[.]xyz
Categories: 総計