ASEC マルウェア週間統計 ( 20210705~20210711 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年7月5日(月)から2021年7月11日(日)までに収集された1週間の統計を整理する。

大分類の上ではインフォスティーラーが53.4%と1位を占めており、その次に CoinMinerが15.5%、RAT(Remote Administration Tool)マルウェアが14.4%、ダウンローダーが12.9%、ランサムウェアが2.7%、Ddosが0.8%の順に集計された。


Top 1 –  Glupteba

15.5%を占めている Glupteba は、 Go言語(Golang)で開発されたマルウェアである。多数の追加モジュールをダウンロードして複数の機能を持っているが、実質的には XMR (モネロ)CoinMiner をインストールする CoinMiner マルウェアである。

Glupteba を実行すると UAC Bypass を経て TrustedInstaller の権限を利用してシステム権限を取得する。そして、C:Windowsrsscsrss.exe の名前で正常なプロセスに偽装し、システムに常駐する。その後、追加モジュールをダウンロードするが、その対象にはプロセスおよびファイルを非表示にするためのルートキットドライバがあり、最終的にインストールされるものとしては、XMR CoinMiner および SMB の脆弱性を利用した伝播のための Eternal Blue パッケージがある。

現在確認されている Glupteba の大半は、PUP を通してダウンロードされる方式で拡がっている。PUP を通して拡散しているにもかかわらず、過去のブログで述べた MalPe パッカーのアウトラインを持つという点が特徴である。

[追加モジュールのダウンロードアドレス]

  • hxxps://spolaect[.]info

[C&C サーバーアドレス]

  • hxxps://ninhaine[.]com
  • hxxps://2makestorage[.]com
  • hxxps://nisdably[.]com


Top 2 –  Vidar

14.0%を占めている Vidar も代表的なインフォスティーラー/ダウンロードマルウェアである。Vidar は Web ブラウザ、FTP、ビットコインウォレットアドレス、スクリーンショットなどのインフォスティーラー機能以外にも、追加でマルウェアをダウンロードできる機能が存在する。

該当期間に使用された C&C アドレスは以下の通りである。

  • hxxp://157.90.127[.]76/933
  • hxxp://157.90.127[.]76/865
  • hxxp://157.90.127[.]76/890
  • hxxp://157.90.127[.]76/706
  • hxxp://turkcoder.com.tr[.]ht/main.php
  • hxxp://162.55.223[.]232/933
  • hxxp://162.55.223[.]232/313
  • hxxp://162.55.223[.]232/865
  • hxxp://notedrives.tr[.]ht/main.php
  • hxxp://erolbasa.ac[.]ug/main.php
  • hxxp://162.55.223[.]232/947

Top 3 – Smoke Loader

Smoker Loader は、ンフォスティーラー/ダウンロードマルウェアとして、12.1%の割合で今週の3位を占めている。Smoker Loaderに関連した分析レポートは、以下の ASEC レポートを参考にしてほしい。

[PDF] ASEC REPORT vol.101_한층 업그레이드된 최신판 스모크로더(Smoke Loader), 전격해부
(翻訳:[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Lauder、電撃解剖) *韓国語/英語版のみ提供

以下は、確認された C&C サーバーアドレスである。

  • conceitosseg[.]com/upload/
  • integrasidata[.]com/upload/
  • ozentekstil[.]com/upload/
  • finbelportal[.]com/upload/
  • telanganadigital[.]com/upload/
  • nusurtal4f[.]net/
  • netomishnetojuk[.]net/
  • netomishnetojuk[.]net/
  • nick22doom4[.]net/
  • wrioshtivsio[.]su/
  • nusotiso4[.]su/
  • rickkhtovkka[.]biz/
  • palisotoliso[.]net/
  • 999080321newfolder100231-service1022020[.]ru/
  • 999080321newfolder100221-service1022020[.]ru/
  • 999080321newfolder1002-012525999080321[.]ml/
  • 999080321newfolder1002-012625999080321[.]ga/
  • 999080321newfolder1002-012725999080321[.]cf/
  • 999080321newfolder1002-012825999080321[.]gq/


Top 4 –  BeamWinHTTP

11.7%を占めている BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

以下は、確認された C&C サーバーアドレスである。

  • hxxp://g-partners[.]live


Top 5 –  CryptBot

今週は CryptBot マルウェアが10.6%で5位を占めている。CryptBot は主にユーティリティダウンロードページを装った不正なサイトで配布されている。該当する不正なサイトは、検索エンジンで特定キーワードを検索すると、上段に表示される。感染すると、各種ユーザー情報の奪取、および追加マルウェアのダウンロードを行う。

以下は、 CryptBot の C&C サーバーアドレスと追加マルウェアのダウンロードアドレスである。

  • C&C1 : xeiqvo57[.]top/index.php
    C&C2 : moraid05[.]top/index.php
    Download URL : lopoga07[.]top/download.php?file=lv.exe
  • C&C1 : aleysn13[.]top/index.php
    C&C2 : mordmy01[.]top/index.php
    Download URL : otiasc01[.]top/download.php?file=lv.exe
  • C&C1 : xeinxk65[.]top/index.php
    C&C2 : morksu06[.]top/index.php
    Download URL : lopywn08[.]top/download.php?file=lv.exe
  • C&C1 : xeicwj77[.]top/index.php
    C&C2 : moregy07[.]top/index.php
    Download URL : lopxep10[.]top/download.php?file=lv.exe
  • C&C1 : alepez15[.]top/index.php
    C&C2 : mordmy01[.]top/index.php
    Download URL : otiasc01[.]top/download.php?file=lv.exe

配布時のファイル名は以下の通りである。

  • Setup.exe
  • setup_x86_x64_install.exe
  • Main-Setup.exe
  • x86_x64_setup.exe
  • main_setup_x86x64.exe
  • SetupFile-v16.2.9.exe

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments