ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年7月5日(月)から2021年7月11日(日)までに収集された1週間の統計を整理する。
大分類の上ではインフォスティーラーが53.4%と1位を占めており、その次に CoinMinerが15.5%、RAT(Remote Administration Tool)マルウェアが14.4%、ダウンローダーが12.9%、ランサムウェアが2.7%、Ddosが0.8%の順に集計された。
Top 1 – Glupteba
15.5%を占めている Glupteba は、 Go言語(Golang)で開発されたマルウェアである。多数の追加モジュールをダウンロードして複数の機能を持っているが、実質的には XMR (モネロ)CoinMiner をインストールする CoinMiner マルウェアである。
Glupteba を実行すると UAC Bypass を経て TrustedInstaller の権限を利用してシステム権限を取得する。そして、C:Windowsrsscsrss.exe の名前で正常なプロセスに偽装し、システムに常駐する。その後、追加モジュールをダウンロードするが、その対象にはプロセスおよびファイルを非表示にするためのルートキットドライバがあり、最終的にインストールされるものとしては、XMR CoinMiner および SMB の脆弱性を利用した伝播のための Eternal Blue パッケージがある。
現在確認されている Glupteba の大半は、PUP を通してダウンロードされる方式で拡がっている。PUP を通して拡散しているにもかかわらず、過去のブログで述べた MalPe パッカーのアウトラインを持つという点が特徴である。
[追加モジュールのダウンロードアドレス]
- hxxps://spolaect[.]info
[C&C サーバーアドレス]
- hxxps://ninhaine[.]com
- hxxps://2makestorage[.]com
- hxxps://nisdably[.]com
Top 2 – Vidar
14.0%を占めている Vidar も代表的なインフォスティーラー/ダウンロードマルウェアである。Vidar は Web ブラウザ、FTP、ビットコインウォレットアドレス、スクリーンショットなどのインフォスティーラー機能以外にも、追加でマルウェアをダウンロードできる機能が存在する。
該当期間に使用された C&C アドレスは以下の通りである。
- hxxp://157.90.127[.]76/933
- hxxp://157.90.127[.]76/865
- hxxp://157.90.127[.]76/890
- hxxp://157.90.127[.]76/706
- hxxp://turkcoder.com.tr[.]ht/main.php
- hxxp://162.55.223[.]232/933
- hxxp://162.55.223[.]232/313
- hxxp://162.55.223[.]232/865
- hxxp://notedrives.tr[.]ht/main.php
- hxxp://erolbasa.ac[.]ug/main.php
- hxxp://162.55.223[.]232/947
Top 3 – Smoke Loader
Smoker Loader は、ンフォスティーラー/ダウンロードマルウェアとして、12.1%の割合で今週の3位を占めている。Smoker Loaderに関連した分析レポートは、以下の ASEC レポートを参考にしてほしい。
[PDF] ASEC REPORT vol.101_한층 업그레이드된 최신판 스모크로더(Smoke Loader), 전격해부
(翻訳:[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Lauder、電撃解剖) *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- conceitosseg[.]com/upload/
- integrasidata[.]com/upload/
- ozentekstil[.]com/upload/
- finbelportal[.]com/upload/
- telanganadigital[.]com/upload/
- nusurtal4f[.]net/
- netomishnetojuk[.]net/
- netomishnetojuk[.]net/
- nick22doom4[.]net/
- wrioshtivsio[.]su/
- nusotiso4[.]su/
- rickkhtovkka[.]biz/
- palisotoliso[.]net/
- 999080321newfolder100231-service1022020[.]ru/
- 999080321newfolder100221-service1022020[.]ru/
- 999080321newfolder1002-012525999080321[.]ml/
- 999080321newfolder1002-012625999080321[.]ga/
- 999080321newfolder1002-012725999080321[.]cf/
- 999080321newfolder1002-012825999080321[.]gq/
Top 4 – BeamWinHTTP
11.7%を占めている BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- hxxp://g-partners[.]live
Top 5 – CryptBot
今週は CryptBot マルウェアが10.6%で5位を占めている。CryptBot は主にユーティリティダウンロードページを装った不正なサイトで配布されている。該当する不正なサイトは、検索エンジンで特定キーワードを検索すると、上段に表示される。感染すると、各種ユーザー情報の奪取、および追加マルウェアのダウンロードを行う。
以下は、 CryptBot の C&C サーバーアドレスと追加マルウェアのダウンロードアドレスである。
- C&C1 : xeiqvo57[.]top/index.php
C&C2 : moraid05[.]top/index.php
Download URL : lopoga07[.]top/download.php?file=lv.exe - C&C1 : aleysn13[.]top/index.php
C&C2 : mordmy01[.]top/index.php
Download URL : otiasc01[.]top/download.php?file=lv.exe - C&C1 : xeinxk65[.]top/index.php
C&C2 : morksu06[.]top/index.php
Download URL : lopywn08[.]top/download.php?file=lv.exe - C&C1 : xeicwj77[.]top/index.php
C&C2 : moregy07[.]top/index.php
Download URL : lopxep10[.]top/download.php?file=lv.exe - C&C1 : alepez15[.]top/index.php
C&C2 : mordmy01[.]top/index.php
Download URL : otiasc01[.]top/download.php?file=lv.exe
配布時のファイル名は以下の通りである。
- Setup.exe
- setup_x86_x64_install.exe
- Main-Setup.exe
- x86_x64_setup.exe
- main_setup_x86x64.exe
- SetupFile-v16.2.9.exe
Categories:総計