ASEC マルウェア週間統計 ( 20210531～20210606 )

AhnLab ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年5月31日(月)から2021年6月6日(日)までに収集された1週間の統計を整理する。

大分類の上ではインフォスティーラーが82.5%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.0%、ダウンローダーが1.5%と集計された。バンキング型マルウェアとランサムウェアは数が少なくなり、集計されなかった。

Top 1 –  AgentTesla

AgentTesla は29.4%を占めており、1位となった。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。

• smtp.yandex[.]com
  sender: jefferyclement@yandex[.]com
  receiver: jefferyclement@yandex[.]com
  user: jefferyclement@yandex[.]com
  pw: emoti****11
• wasstech[.]com
  sender: rasha.adel@wasstech[.]com
  receiver: rasha.adel@wasstech[.]com
  user: rasha.adel@wasstech[.]com
  pw: Sunray****@@
• smtp.hassani777[.]xyz
  sender: 101@hassani777[.]xyz
  receiver: 101@hassani777[.]xyz
  user: 101@hassani777[.]xyz
  pw: W@****m0

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

• DHL.exe GE-726705.pdf.exe
• IMG_065017223.exe
• INVOICE PDF.exe
• New Order List.exe
• New Order Specifications xlsx.exe
• Payment Copy.exe
• PO309873.exe
• PO903_2224_NGUYEN_LINH_SERVICE_AND_TRADINGS.exe
• SCAN0056.EXE
• SMK_RFQ.exe

Top 2 – Formbook

Formbook はインフォスティーラー型マルウェアとして19.9%を占めており、Top 2に名が上がった。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

• 2103-004-I (BGP-0036) GEAR CASE B3-503597_JIANGSU SYD PROJECT.exe
• att1-210601224414.DOCX.exe
• CONTRACT SWIFT.exe
• DHL.exe
• Failure Notice Details PDF.exe
• New price quotation.bat
• Order Specification.exe
• ORDER.exe
• PO 0231.exe
• PO-827.exe
• Quotation.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を奪取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。

• hxxp://www.racevx[.]xyz/egem/
• hxxp://www.mex33[.]info/ainq/
• hxxp://www.tomrings[.]com/dp3a/
• hxxp://www.racevx[.]xyz/egem/
• hxxp://www.chaytel[.]com/dxe/
• hxxp://www.blinbins[.]com/mabs/
• hxxp://www.byonf[.]com/nyd/
• hxxp://www.casnop[.]com/ccr/

Top 3 –  Lokibot

今週は Lokibot が16.0%を占めており、Top 3に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

スパムメールを通して配布される他のマルウェアのようにスパムメール形式で配布されることにより、類似した配布ファイル名を持つ。

• 20200237 Item List (84EA) – 사양 적용.exe (翻訳：20200237 Item List (84EA) – 仕様適用.exe)
• 20200237 Item List -사양 적용.xlsx.exe (翻訳：20200237 Item List -仕様適用.xlsx.exe)
• 20210531 Item List -사양 적용-114578PZ75.exe (翻訳：20210531 Item List -仕様適用-114578PZ75.exe)
• 20210604_quote.exe
• 20210604133발주분(신규)사양 적용10115.exe (翻訳：20210604133発注分(新規)仕様適用10115.exe)
• 20210604발주분(신규)사양 적용_101157.exe (翻訳：20210604発注分(新規)仕様適用101157.exe)
• 20210605발주분(신규)사양 적용_101157.exe (翻訳：20210605発注分(新規)仕様適用101157.exe)
• Balance Invoice-56400003970_pdf.exe
• Heeman Corporation_21531HY01.exe
• Heeman PO210601.exe
• Heeman quote.pdf.exe
• INSUNG PO196389.exe
• insung po9923458.exe
• PO-20210601.exe
• PO-210531.exe
• QUOTATION-FORM.exe
• Quote-210604.exe
• Request of Quote 04-06-2021·pdf.exe
• SCAN JUNE’21.exe

大半の Lokibot マルウェアの C&C サーバーは以下の通り末尾が fre.php で終わる特徴を持っている。

• hxxp://104.168.166[.]188/agwo/fre.php
• hxxp://104.168.166[.]188/capo/fre.php
• hxxp://104.168.166[.]188/oyaka/fre.php
• hxxp://192.119.111[.]43/agwo/fre.php
• hxxp://vihaiha[.]com/.ccb/news/school/boy/choo/fre.php
• hxxp://nijawright[.]tk/documents/fre.php
• hxxp://swissbully[.]gq/gates/fre.php

Top 4 –  CryptBot

CryptBot マルウェアが8.0%で4位を占めている。CryptBot は PUP プログラムを通してダウンロードされ、追加で情報奪取およびマルウェアをダウンロードする機能を持つ。

CryptBot は主に Google で特定のキーワードを検索すると表示されるユーティリティプログラムのダウンロードページに偽装したフィッシングサイトから拡散している。

以下は、確認された CryptBot の C&C サーバーアドレスと追加マルウェアのダウンロードアドレスである。

• C&C1 : nimuvw35[.]top/index.php
  C&C2 : morudl03[.]top/index.php
  Download URL : noirsy04[.]top/download.php?file=lv.exe
• C&C1 : geobau75[.]top/index.php
  C&C2 : moryce07[.]top/index.php
  DownloadURL : rogkjs10[.]top/download.php?file=lv.exe
• C&C1 : geopfu25[.]top/index.php
  C&C2 : moreok02[.]top/index.php
  Download URL : rogmzx03[.]top/download.php?file=lv.exe

ユーティリティプログラムのダウンロードページに偽装したフィッシングサイトから配布されるファイル名は、以下の通りである。

• installer_mainSetup.exe
• main_setup_x86x64.exe
• Mainsetupv1.0.exe
• Setup.exe
• setup_installer.exe
• setup_x86_x64_install.exe
• SetupInstall.exe
• x86_x64_setup.exe

Top 5 – NanoCore 

NanoCore が6.3%で、5位を占めている。NanoCore は .NET で開発された RAT マルウェアとして、njRAT と同じようにキーロガーを含む情報流出および様々な攻撃者の命令を実行できる。

NanoCore は AgentTesla、Formbook、AveMaria、Remcos 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。すなわち、収集されるファイル名も以下のようにスパムメールを通して配布されるマルウェアと類似している。

• 80PU09JK-PO.exe
• NEW_PO-0987765432123456789.exe
• PO4018-308875.pdf.exe
• PO903_2224_NGUYEN_LINH_SERVICE_AND_TRADINGS.exe
• RFQ – ship equipments and parts.exe
• swift copy 06032021.exe
• THUAN HIEP THANH CO – PURCHASE ORDER.exe
• TTPAYMENT_CONFIRMATION.PDF.exe

以下は、確認された NanoCore の C&C サーバードメインである。

• backu4734.duckdns[.]org
• buike.duckdns[.]org
• justinalwhitedd554.duckdns[.]org
• newjan.duckdns[.]org
• newnano.ddns[.]net
• omaprilcode.duckdns[.]org
• startedhere.ddns[.]net
• strongodss.ddns[.]net