ASEC マルウェア週間統計 ( 20210628~20210704 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年6月28日(月)から2021年7月4日(日)までに収集された1週間の統計を整理する。

大分類の上ではインフォスティーラーが67%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが13.5%、CoinMiner が7.0%、ダウンローダーが5.9%、Ddos が3.4%、ランサムウェアが3.1%、の順に集計された。


Top 1 –  AgentTesla

AgentTesla は15.8%を占めており、1位となった。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。

  • smtp.wickwirewerehouse[.]com
    sender : blessingss@wickwirewerehouse[.]com
    receiver : blessingss@wickwirewerehouse[.]com
    user : blessingss@wickwirewerehouse[.]com
    pw : $Bn****u%3
  • mail.privateemail[.]com
    sender : info@cuprum-es[.]me
    receiver : info@cuprum-es[.]me
    user : info@cuprum-es[.]me
    pw : @Me****1.,
  • smtp.vivaldi[.]net
    sender : gracebox123@vivaldi[.]net
    receiver : gracebox123@vivaldi[.]net
    user : gracebox123@vivaldi[.]net
    pw : Codeb****er#007

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

  • New PO33134.exe
  • RFQUOTATION9900.pdf.exe
  • Statement SKBMT 04418.exe


Top 2 – Formbook

Formbook はインフォスティーラー型マルウェアとして11.3%を占めており、Top 2に名が上がった。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • itachi Terminal Solutions Korea 발주서 nf 21-0649 (회신요망).exe
    (翻訳:itachi Terminal Solutions Korea 発注書 nf 21-0649 (要返信).exe)
  • RFQ-Itachi Terminal Solutions Korea 발주서 nf 21-0649 (회신요망).exe
    (翻訳:RFQ-itachi Terminal Solutions Korea 発注書 nf 21-0649 (要返信).exe)
  • Request For Quotation.exe
  • OUTSTANDING PAYMENT REMINDER.exe
  • SEOCHANG INDUSTRY Co., Ltd..exe
  • product specification.exe
  • ORDER REQUIREMENT.exe
  • IMG00291552.exe
  • OSGE Project (Optimum Shah Gas Expansion) plan_REQUEST_PROFORMA INVOICE.exe
  • New VoiceMail 2 sec.exe
  • Purchase Order-36287932.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を奪取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.baincot[.]com/nins/
  • hxxp://www.baincot[.]com/hme1/
  • hxxp://www.blaxies3[.]com/n86i/
  • hxxp://www.blaxies3[.]com/xfts/
  • hxxp://www.blinbins[.]com/uqf5/
  • hxxp://www.bonap56[.]com/rnn4/
  • hxxp://www.buntunm3[.]com/di4r/
  • hxxp://www.buntunm3[.]com/u6bi/
  • hxxp://www.cenfoxy[.]com/bgr7/
  • hxxp://www.jam-nins[.]com/bumr/
  • hxxp://www.jam-nins[.]com/iic6/
  • hxxp://www.jam-nins[.]com/onga/
  • hxxp://www.jumtix[.]xyz/g9pb/
  • hxxp://www.resctub[.]com/ctrt/
  • hxxp://www.smacey[.]com/bk2s/


Top 3 –  Lokibot

今週は Lokibot が11.0%を占めており、 3位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

スパムメールを通して配布される他のマルウェアのようにスパムメール形式で配布されることにより、類似した配布ファイル名を持つ。

  • 견적의뢰서BK210622.exe (翻訳:見積依頼書BK210622.exe)
  • 견적의뢰서_PO20210702.exe (翻訳:見積依頼書_PO20210702.exe)
  • 견적의뢰서_PO210628.exe (翻訳:見積依頼書_PO210628.exe)
  • 견적의뢰서_PO210630.exe (翻訳:見積依頼書_PO210630.exe)
  • 견적의뢰서_PO210701.exe (翻訳:見積依頼書_PO210701.exe)
  • PD210629 긴급견적요청 건.exe (翻訳:PD210629 緊急見積依頼の件.exe)
  • CMA – customer Advisory – Container Charges.pdf.exe
  • Informe bancario.PDF__________________.exe
  • invoices soa.exe
  • LISTA_DE.EXE
  • PO_210625.exe
  • PURCHASE-ORDER.exe
  • SCAN_20210630_074628711.exe 
  • SCAN_20210701_074628711.exe
  • SCAN_20210702_074628711_.exe
  • ScanDocument0000000123_pdf.exe

大半の Lokibot マルウェアの C&C サーバーは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://www.tepevizyon.com[.]tr/xx/Panel/fre.php
  • hxxp://185.110.190[.]5/gugufdre.php/NHNmTUOdS6fzz
  • hxxp://192.119.111[.]43/dw/fre.php
  • hxxp://192.119.111[.]43/obai/fre.php
  • hxxp://192.236.179[.]121/capo/fre.php
  • hxxp://192.236.179[.]121/od/fre.php
  • hxxp://192.236.193[.]138/ogaanyi/fre.php
  • hxxp://63.141.228[.]141/32.php/vkuep8Jt3rHQ5
  • hxxp://ctp1[.]xyz/w2/fre.php
  • hxxp://inhanoi.net[.]vn/.mnhnc/lolo/lolol/modified/acccess/fre.php
  • hxxp://manvim[.]co/fd2/fre.php


Top 4 –  CryptBot

今週は CryptBot マルウェアが9.9%で4位を占めている。CryptBot は主にユーティリティダウンロードページを装った不正なサイトで配布されている。該当する不正なサイトは、検索エンジンで特定キーワードを検索すると、上段に表示される。感染すると、各種ユーザー情報の奪取、および追加マルウェアのダウンロードを行う。

以下は、 CryptBot の C&C サーバーアドレスと追加マルウェアのダウンロードアドレスである。

  • C&C1: xeilzy47[.]top/index.php
    C&C2: mororx04[.]top/index.php
    Download URL: lopcpd05[.]top/download.php?file=lv.exe
  • C&C1: xeinxk65[.]top/index.php
    C&C2: morksu06[.]top/index.php
    Download URL: lopywn08[.]top/download.php?file=lv.exe
  • C&C1: xeiovz21[.]top/index.php
    C&C2: morhef02[.]top/index.php
    Download URL: loppku02[.]top/download.php?file=lv.exe
  • C&C1: cyprae67[.]top/index.php
    C&C2: morbai06[.]top/index.php
    Download URL: dugzay09[.]top/download.php?file=lv.exe

配布時のファイル名は以下の通りである。

  • askinstall36.exe
  • main_setup_x86x64.exe
  • paypall.exe
  • Setup.exe
  • setup_x86_x64_install.exe
  • x86_x64_setup.exe


Top 5 –  Vidar

8.2%を占めている Vidar も代表的なインフォスティーラー/ダウンロードマルウェアである。Vidar は Web ブラウザ、FTP、ビットコインウォレットアドレス、スクリーンショットなどのインフォスティーラー機能以外にも、追加でマルウェアをダウンロードできる機能が存在する。

該当期間に使用された C&C アドレスは以下の通りである。

  • hxxp://157.90.127[.]76/932
  • hxxp://195.133.40[.]227/az//main.php
  • hxxp://157.90.127[.]76/706

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments