ASEC マルウェア週間統計 ( 20210621～20210627 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年6月21日(月)から2021年6月27日(日)までに収集された1週間の統計を整理する。

大分類の上ではインフォスティーラーが68.2%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアウェアが21.7%、DDoS が3.9%、ダウンローダーが3.1%、ランサムウェアが2.2%の順に集計された。

Top 1 –  AgentTesla

AgentTesla は21.2%を占めており、1位となった。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。

• smtp.babcockvalve[.]com
  sender : ziara.landa@babcockvalve[.]com
  receiver : ziara.landa@babcockvalve[.]com
  user : ziara.landa@babcockvalve[.]com
  pw : hA$***%9
• smtp.ojototheworld[.]us
  sender : alert@ojototheworld[.]us
  receiver : alert@ojototheworld[.]us
  user : alert@ojototheworld[.]us
  pw : pas****21
• mail.w2opt[.]com
  sender : zhengt@w2opt[.]com
  receiver : darrishowe@yandex[.]com
  user : zhengt@w2opt[.]com
  pw : wTw****18

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

• TT Copy.exe
• statement_of_account.exe
• rfq-5754376.exe
• quotation-request xls.exe
• Purchase Order.exe
• PO_SJVN-NORYEPULL_#NPSJ-20210512.exe
• PO# PC00061945_000925062021.exe
• p-invoice#6547yrrf.exe
• PDA for Discharging 50000 mt Bagged rice at Conakry.exe
• Payment_Advice_Note_from_22.06.2021_to_608720.exe
• Order.pif
• Miray Kimya.exe
• LPG MARIA III_VSL PARTICULARS.docx.exe
• Kindly Confirmed all Details.exe
• invoice.pdf.exe
• invoice copy.pdf.exe
• handy vessel spec and descriptions.exe
• FEDEX_EXPRESS_TRACKING_-_COURIER_DELIVERY.exe
• DHL_Consignment_Details.exe
• BJ QUEEN – Vendor Template.docx.exe
• Bill Of Lading.exe
• 37300T, 37100T, 37150T GTIN.exe
• 20210623NQ001 LINYI YITONG INDUSTRIAL CO.LTD..exe

Top 2 –  Lokibot

今週は Lokibot が15.3%を占めており、Top 2に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

スパムメールを通して配布される他のマルウェアのようにスパムメール形式で配布されることにより、類似した配布ファイル名を持つ。

• 발주분(신규)10115지아*테크210623.exe (翻訳：発注分(新規)_10115ジア*テック210623.exe)
• 발주분(신규)_10115__210624.exe (翻訳：発注分(新規)_10115__210624.exe)
• 발주분(신규)_10115[새*]210624.exe (翻訳：発注分(新規)10115[セ*]210624.exe)
• 발주분(신규)_10115[새*]210622.exe (翻訳：発注分(新規)10115[セ*]210622.exe)
• 발주분(신규)_10115[새*]210621.exe (翻訳：発注分(新規)10115[セ*]210621.exe)
• 견적의뢰서_bk210623.exe (翻訳：見積依頼書_BK210623.exe)
• 견적의뢰서_bk210622.exe (翻訳：見積依頼書_BK210622.exe)
• 견적의뢰서_BK210621.exe (翻訳：見積依頼書_BK210621.exe)
• 견적의뢰서_BK210620.exe (翻訳：見積依頼書_BK210620.exe)
• SWIFT_Receipt.PDF.exe
• PURCHASE_ORDER.exe
• proforma-scan doc.exe proforma_pdf.exe
• PO_20210624_1747.exe
• PO_20210624.exe
• PEMBAYARAN_COPY_TT_PDF.exe
• New_PI&_Packing_list_062620021.exe
• FACTURAS.EXE
• facturas y datos bancarios.PDF.exe
• DHL_Receipt_pdf.exe
• Customer Advisory – Notice of implementing Congestion surcharge (CGD) (1).pdf.exe
• cotización.xlsx.exe
• Baltic Questionnaire.xls.exe
• 2021-06-22-Quotation-14478801 TMC.exe
• 2021062199000856.pdf.exe

大半の Lokibot マルウェアの C&C サーバーは以下の通り末尾が fre.php で終わる特徴を持っている。

• hxxp://www.tepevizyon.com[.]tr/xx/Panel/fre.php
• hxxp://vihaiha[.]com/.cc/news/school/boy/choo/fre.php
• hxxp://exinmbakala[.]xyz/Panel/five/fre.php
• hxxp://es02[.]xyz/w2/fre.php
• hxxp://apponline97[.]ir/emoni/Panel/fre.php
• hxxp://apponline97[.]ir/china/Panel/fre.php
• hxxp://63.141.228[.]141/32.php/Uo2Q8E3IZNLpA
• hxxp://192.236.193[.]138/drain/drain/fre.php
• hxxp://192.119.111[.]43/zubby/fre.php
• hxxp://192.119.111[.]43/bosa/fre.php

Top 3 – Formbook

Formbook はインフォスティーラー型マルウェアとして12.5%を占めており、Top 3に名が上がった。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

• CONTRACT_PROPOSAL_&ORDER_LIST.exe
• DHL__Shipment_Documents.exe Document.exe
• ilshin trading co..exe
• INV_10909_202141227.exe
• INV8251335466774.exe
• New_Order_PO_1164_HD-F_4020_6K.exe
• Order210622.exe
• po.exe
• PO_NEW_ORDER_002001123.exe
• po22062021rfq.exe
• PURCHASE_CONTRACT#GJPL1202_2021-22PDF.exe
• QMF21950622.exe
• Quotation.exe
• quote.exe
• quotee.exe
• s l biochemical po#slb210624-001.exe
• samil pharm po#slb210624-001.exe
• scandocument2021_pdf.exe
• Shipment_Document_BL,INV_and_Packing_list_Attached.exe
• Shipping_Document_DHL.exe
• urgentneworder_pdf.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を奪取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。

• hxxp://www.baincot[.]com/nins/
• hxxp://www.blaxies3[.]com/xfts/
• hxxp://www.blinbins[.]com/q4kr/
• hxxp://www.bonap56[.]com/im85/
• hxxp://www.calsury[.]com/wlns/
• hxxp://www.cenfoxy[.]com/bgr7/
• hxxp://www.cinmax[.]xyz/hw26/
• hxxp://www.jam-nins[.]com/3nop/
• hxxp://www.kuppers[.]info/uerb/
• hxxp://www.mimik33[.]info/pb93/
• hxxp://www.nelivo[.]com/bwk/
• hxxp://www.racevx[.]xyz/qjnt/
• hxxp://www.ravexim3[.]com/sgs8/
• hxxp://www.senmec23[.]com/se5w/
• hxxp://www.valengz[.]com/lt0h/

Top 4 –  CryptBot

今週は CryptBot マルウェアが10.6%で4位を占めている。CryptBot は主にユーティリティダウンロードページを装った不正なサイトで配布されている。該当する不正なサイトは、検索エンジンで特定キーワードを検索すると、上段に表示される。感染すると、各種ユーザー情報の奪取、および追加マルウェアのダウンロードを行う。

以下は、 CryptBot の C&C サーバーアドレスと追加マルウェアのダウンロードアドレスである。

• C&C1: kiylbx57[.]top/index.php
  C&C2: morunx05[.]top/index.php
  Download URL: peoscn07[.]top/download.php?file=lv.exe
• C&C1: cypaev17[.]top/index.php
  C&C2: mordiu01[.]top/index.php
  Download URL: dugiry01[.]top/download.php?file=lv.exe
• C&C1: cypdgs21[.]top/index.php
  C&C2: morutv02[.]top/index.php
  Download URL: dughos03[.]top/download.php?file=lv.exe
• C&C1: cypquv37[.]top/index.php
  C&C2: morkyl03[.]top/index.php
  Download URL: dugyly04[.]top/download.php?file=lv.exe
• C&C1: cypkcq51[.]top/index.php
  C&C2: morons05[.]top/index.php
  Download URL: dugykz07[.]top/download.php?file=lv.exe

配布時のファイル名は以下の通りである。

• setup.exe
• setup_x86_x64_install.exe 
• x86_x64_setup.exe
• p6.exe
• p6-2.exe
• main-setup.exe
• main_setup_x86x64.exe

Top 5 – NanoCore

NanoCore が8.4%で、5位を占めている。NanoCore は .NET で開発された RAT マルウェアとして、njRAT と同じようにキーロガーを含む情報流出および様々な攻撃者の命令を実行できる。

NanoCore は AgentTesla、Formbook、AveMaria、Remcos 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。すなわち、収集されるファイル名も以下のようにスパムメールを通して配布されるマルウェアと類似している。

• vc_redist.x 64 (필수실행).exe (翻訳：vc_redist.x 64 (実行必須).exe)
• Specifications.pif
• SCANNED DOCUMENTS_EXPORT1020938 IMG054550 GEOS800 SCAN_pdf.exe
• Signed Purchase Order POUS4509622207.exe

以下は、確認された NanoCore の C&C サーバードメインである。

• wekeepworking12.sytes[.]net
• wekeepworking.sytes[.]net
• typejimbo.ddns[.]net
• quill.sytes[.]net
• pripri.duckdns[.]org
• night90.ddns[.]net
• newnano.ddns[.]net
• mafian222.ddns[.]net
• justinalwhitedd554.duckdns[.]org
• james12.ddns[.]net
• innocentbooii.hopto[.]org
• ifybest85fff.ddns[.]net
• fuck90.duckdns[.]org
• dubby2021.duckdns[.]org
• dbb.turbo-sy[.]com
• backu4734.duckdns[.]org
• alexwill.ddns[.]net
• 1116.hopto[.]org

番外編 – Nitol

相対的に数が少なく、Top 5の順位には入らなかったが、Nitol DDoS マルウェアが例外的に発見され続けている。特定フォーラムの資料室から拡散しており、攻撃者はマルウェアをダウンロードできる Torrent のシードファイルを添付した記事を多数アップロードしていた。この資料室から拡散した Nitol サンプルは、すべて同じ C&C アドレスを使用しており、各種プログラムのインストーラーに偽装していた。

Nitol マルウェアは C&C サーバーのコマンドを受け、追加マルウェアのダウンロード、DDoS 攻撃などの不正な行為を行うことができる。

現在拡散している Nitol マルウェアのファイル/パス名と C&C サーバーアドレスは以下の通りである。

C&C: rlarnjsdud0502.kro[.]kr

• \[정식 한글판] 오피스 2007\setup.exe (翻訳：\[正規韓国語版] Office 2007\setup.exe)
• \한글 2020\crack.exe (翻訳：\アレアハングル 2020\crack.exe)
• \microsoft office 2016\setup.exe
• \한컴오피스교육기관용 2020\install.exe (翻訳：\アレアハングル オフィス教育機関用 2020\install.exe)
• \adobe illustrator 2020\install.exe
• \kmsauto net 2015 v1.4.5 portable\kmsauto net.exe