ASEC マルウェア週間統計 ( 20210517 ~ 20210523 )

AhnLab ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年5月17日(月)から2021年5月23日(日)までに収集された1週間の統計を整理する。

大分類の上ではインフォスティーラーが75%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.3%、ダウンローダーが3.6%、ランサムウェアが2.1%と集計された。

Top 1 –  AgentTesla

AgentTesla は27.9%を占めており、1位となった。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。

• mail.transitworldexpress[.]com (192.185.119[.]206)
  sender: r.laref@transitworldexpress[.]com
  receiver: office.toney39@mail[.]ru
  user: r.laref@transitworldexpress[.]com
  pw: twe****2019
• smtp.babcockvalve[.]com (193.239.84[.]207)
  sender: ziara.landa@babcockvalve[.]com
  receiver: ziara.landa@babcockvalve[.]com
  user: ziara.landa@babcockvalve[.]com
  pw: hA$k****9
• smtp.vivaldi[.]net (31.209.137[.]12)
  sender: benzima@vivaldi[.]net
  receiver: benzima@vivaldi[.]net
  user: benzima@vivaldi[.]net
  pw: Obereez***2

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

• Bank Details.exe
• ship’s particulars – YAHA.xlsx.exe
• SC202102-00013.exe
• h1BNpo1oLcwZSfh.exe
• Images.exe
• DHL.exe
• Updated Purchase Order.exe
• MV TOP DILIGENCE V.20S32.exe
• ORIGINAL SHIPPING DOCUMENT.PDF.exe
• Documents4348848566556.pif

Top 2 –  Lokibot

今週は Lokibot が14.8%を占めており、Top 2に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

スパムメールを通して配布される他のマルウェアのようにスパムメール形式で配布されることにより、類似した配布ファイル名を持つ。

• MV PVT DIAMOND V.21089.exe
• List.exe
• SUPRA THESSAL VENDOR FORM.exe
• Purchase Order.exe
• mx1.exe
• Transferencia.JPEG___________________________.exe
• SOA.com
• ConsoleApp12.exe

大半の Lokibot マルウェアの C&C サーバーは以下の通り末尾が fre.php で終わる特徴を持っている。

• hxxp://vihaiha[.]com/.cc/news/school/boy/choo/fre.php
• hxxp://104.168.175[.]179/oyaka/panel/fre.php
• hxxp://104.168.175[.]179/votes1/panel/fre.php
• hxxp://mbyi[.]xyz/five/fre.php
• hxxp://173.208.204[.]37/k.php/LY0xuvgkjMA3b
• hxxp://173.208.204[.]37/k.php/HHQ0lrvuYhpMx
• hxxp://optimalwellengineering[.]com/wp0041/five/fre.php
• hxxp://pkzz[.]xyz/jst/five/fre.php
• hxxp://74.201.28[.]138/kpi/03/pin.php

Top 3 – Formbook

Formbook はインフォスティーラー型マルウェアとして12.6%を占めており、Top 3に名が上がった。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

• netwire[1].exe
• Swift_05182021 png.scr
• scan001.exe
• katalog produktów 2021_pdf.exe
• Order.exe
• A2-D55.pdf.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を奪取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。

• hxxp://www.tomrings[.]com/un8c/
• hxxp://www.contorig2[.]com/u8nw/
• hxxp://www.nelivo[.]com/sve/
• hxxp://www.chaytel[.]com/dxe/
• hxxp://www.jumtix[.]xyz/fmjo/
• hxxp://www.psm-gen[.]com/dei5/
• hxxp://www.senmec23[.]com/oerg/
• hxxp://www.racevx[.]xyz/3edq/
• hxxp://www.cunerier[.]com/m3rc/
• hxxp://www.byonf[.]com/nyd/
• hxxp://www.magetu[.]info/p2io/
• hxxp://www.danfrem[.]com/gnr/hxxp://www,danfrem,com/gnr/

Top 4 –  CryptBot

CryptBot マルウェアが初めて Top5 圏内に入り、11.0%で4位を占めている。CryptBot は PUP プログラムを通してダウンロードされ、追加で情報奪取およびマルウェアをダウンロードする機能を持つ。

CryptBot は主に Google で特定のキーワードを検索する際に表示されるユーティリティプログラムのダウンロードページに偽装したフィッシングサイトから拡散している。

以下は、確認された CryptBot の C&C サーバーアドレスと追加マルウェアのダウンロードアドレスである。

• C&C 1 : hxxp://morkqz03[.]top/index.php
  C&C 2 : hxxp://remkdi35[.]top/index.php
  Download URL : hxxp://sulejx04[.]top/download.php?file=lv.exe
• C&C 1 : hxxp://morkcx01[.]top/index.php
  C&C 2 : hxxp://sogdkz15[.]top/index.php
  Download URL : hxxp://dousaj01[.]top/download.php?file=lv.exe
• C&C 1 : hxxp://moreru07[.]top/index.php
  C&C 2 : hxxp://soguex75[.]top/index.php
  Download URL : hxxp://doumbw10[.]top/download.php?file=lv.exe

ユーティリティプログラムのダウンロードページに偽装したフィッシングサイトから配布されるファイル名は、以下の通りである。

• TRANSFER.BAT
• P.O 3471.exe
• Bank Details.exe
• astra.exe
• 7JXV8P4C.exe
• setup_x86_x64_install.exe
• Mainsetupv1.0.exe
• Setup.exe
• $rnld0f8.exe
• p6.exe
• msyZFDsK.exe

Top 5 – NanoCore 

NanoCore が6.7%で、5位を占めている。NanoCore は .NET で開発された RAT マルウェアとして、njRAT と同じようにキーロガーを含む情報流出および様々な攻撃者の命令を実行できる。

NanoCore は AgentTesla、Formbook、AveMaria、Remcos 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。すなわち、収集されるファイル名も以下のようにスパムメールを通して配布されるマルウェアと類似している。

• PLF.exe
• RFQ#2300003590.PDF.exe
• SCANNED DOCUMENTS_JPEG_IMG_ COPY_00213118570001.exe 
• invoice copy.pdf.exe

以下は、確認された NanoCore の C&C サーバードメインである。

• annapro.linkpc[.]net
• tzitziklishop.ddns[.]net
• wealthybillionaire.ddns[.]net
• swift-copy.ddns[.]net
• joetrump2022.ddns[.]net
• startedhere.ddns[.]net
• believe2021.ddns[.]net
• abdulkarim.ddns[.]net