Posted By ,

ASEC マルウェア週間統計 ( 20210510~20210516 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年5月10日(月)から2021年5月16日(日)までに収集された1週間の統計を整理する。

大分類の上ではインフォスティーラーが71.2%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.9%、Coin Miner が3.7%、ランサムウェアが2.8%、ダウンローダーが2.0%、バックドアとバンキングマルウェアは0.2%と集計された。


Top 1 –  AgentTesla

AgentTesla は33.1%を占めており、1位となった。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。

  • paxz[.]tk (162.215.241[.]145)
    sender: angellog@paxz[.]tk
    receiver: angel@paxz[.]tk
    user: angellog@paxz[.]tk
    pw: 721*****E@#$
  • mail.karsanmax[.]com (67.20.76[.]71)
    sender: info@karsanmax[.]com
    receiver: nchimaobi2017@gmail[.]com
    user: info@karsanmax[.]com
    pw: erk*****07
  • smtp.tttco[.]eu (208.91.199[.]224)
    sender: fabian@tttco[.]eu
    receiver: fabian@tttco[.]eu
    user: fabian@tttco[.]eu
    pw: Na*****b6

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

  • New PO Order (2).exe
  • invoice.exe
  • incorrect bank accountdetails.exe
  • MIP8-CIPL 000 HDEC-6042-772.exe
  • TJ190001-P-IW-DP-GA-2047-pdf.exe
  • MACHINE SPECIFICATION.exe
  • Wire Payment Of 35276.70.Pdf.exe
  • RFQ-Quotation..exe
  • Request for Quotation-4505527156.pdf.exe
  • BILL OF LADING 034A522172 QD5D067113 W0675D.pdf.exe
  • PURCHASE ORDER
  • svchost.exe
  • Booking.exe
  • Proforma ve çeki listesi ektedir..exe
  • Price List.exe
  • Product inquiry 00897.exe


Top 2 – Formbook

Formbook はインフォスティーラー型マルウェアとして12.4%を占めており、Top 2に名が上がった。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • swift_34224pdf.exe
  • windows.exe
  • PO-20210512.exe
  • Materialliste für Angebot.exe
  • SwiftReport_13712021831_jpeg.exe
  • INVOICE20210511-0022890321.exe
  • IMAGE5070686426.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を奪取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.joomlas123[.]info/3nop/
  • hxxp://www.chaytel[.]com/dxe/
  • hxxp://www.nelivo[.]com/sve/
  • hxxp://www.solevux[.]com/nke/
  • hxxp://www.nelivo[.]com/cca/
  • hxxp://www.psm-gen[.]com/dei5/
  • hxxp://www.contorig2[.]com/u8nw/
  • hxxp://www.chaytel[.]com/dxe/
  • hxxp://www.tomrings[.]com/bucw/
  • hxxp://www.cunerier[.]com/ued5/


Top 3 –  Lokibot

Lokibot は13.0%で、3位を占めている。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

スパムメールを通して配布される他のマルウェアのようにスパムメール形式で配布されることにより、類似した配布ファイル名を持つ。

  • HY****I PF.exe
  • SA****G gFLNG FEED Update RFQ Documents and Contract specifications.exe
  • PO(20210514).exe
  • List.exe
  • ORDER.exe
  • PURCHASE.exe
  • Pharmapia co.,ltd..exe
  • FM21045697-EA.pdf.exe
  • Cotización.PDF_______________________________.bat
  • Bioclone Corp..exe

大半の Lokibot マルウェアの C&C サーバーは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://173.208.204[.]37/k.php/T9pxT9Pd0nqM9
  • hxxp://173.208.204[.]37/k.php/2L5Ke2LIf96yu
  • hxxp://chem.buet.ac[.]bd/staff-list/inc/2w/Panel/fre.php
  • hxxp://104.168.175[.]179/ft/panel/fre.php
  • hxxp://203.159.80[.]209/azonc/fre.php
  • hxxp://104.168.175[.]179/od/panel/fre.php
  • hxxp://104.168.175[.]179/ghost1/panel/fre.php
  • hxxp://parisyoungerfashion[.]com/.ok/need/work/Panel/five/fre.php
  • hxxp://wordpressobsessed[.]net/fakee/five/fre.php
  • hxxp://104.168.175[.]179/oleku/panel/fre.php


Top 4 –  SnakeKeylogger

6.1%で4位を占めた SnakeKeylooger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。

このマルウェアは AgentTesla と同様に、収集した情報を流出させる際に、メールサーバーおよびユーザーアカウントを利用しており、最近流入したサンプルが利用しているアカウントは以下の通りである。

  • us2.smtp.mailhostbox[.]com (208.91.199[.]225)
    sender: majordeals@alexindo[.]biz
    receiver: javismyar@yandex[.]com
    user: majordeals@alexindo[.]biz
    pw: Rn****m1
  • smtp.top-semi[.]xyz (208.91.198[.]143 )
    sender: info@top-semi[.]xyz
    receiver: info@top-semi[.]xyz
    user: info@top-semi[.]xyz
    pw: sa*****oE9
  • smtp.vivaldi[.]net (31.209.137[.]12)
    sender: sm4rtbrown@vivaldi[.]net
    receiver: sm4rtbrown@vivaldi[.]net
    user: sm4rtbrown@vivaldi[.]net
    pw: #zy***********tor#

他のインフォスティーラー型マルウェアと同様に、送り状(Invoice)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されることから、ファイル名もこれと類似している。

  • Statement of Account April-2021.exe
  • SinkProviderData.exe
  • New Order_WJO-001 pdf.exe
  • Original shipping documents PI SKY0003 SOFABED.exePURCHASE_ORDER-38052429.pdf.exe


Top 5 – NanoCore 

NanoCore が5.9%で、5位を占めている。NanoCore は .NET で開発された RAT マルウェアとして、njRAT と同じようにキーロガーを含む情報流出および様々な攻撃者の命令を実行できる。

NanoCore は AgentTesla、Formbook、AveMaria、Remcos 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。すなわち、収集されるファイル名も以下のようにスパムメールを通して配布されるマルウェアと類似している。

  • Quotation_Order.pdf.exe
  • vbc.exe
  • Passengers details.pif
  • ISO OVERVIEW_1552021, pdf.exe

以下は、確認された NanoCore の C&C サーバードメインである。

  • hansonindustrycoltd.hopto[.]org
  • 1110.hopto[.]org
  • seaudo.hopto[.]org
  • wealth2021.ddns[.]net
  • backupjuly.duckdns[.]org
  • tboss1.ddns[.]net

Categories:総計

Tagged as:

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments