ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年7月12日(月)から2021年7月18日(日)までに収集された1週間の統計を整理する。
大分類の上ではインフォスティーラーが60.9%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.4%、ダウンローダーが8.1%、Coin Miner が7.1%、ランサムウェアが4.4%と集計された。
Top 1 – Vidar
今週は Vidar が13.7%を占めており、1位となった。Vidar は代表的なインフォースティーラー/ダウンローダーマルウェアである。Vidar は Web ブラウザ、FTP、ビットコインウォレットアドレス、スクリーンショットなどのインフォスティーラー機能以外にも、追加でマルウェアをダウンロードできる機能が存在する。
該当期間に使用された C&C アドレスは以下の通りである。
- hxxp://116.202.183[.]50/903
- hxxp://162.55.223[.]232/947
- hxxp://mmcjo[.]com/crown//main.php
- hxxp://erolbasa.ac[.]ug/main.php
Top 2 – Smoke Loader
Smoke Loader は、インフォスティーラー/ダウンロードマルウェアとして、9.9%の割合で今週の2位を占めている。
以下は、確認された C&C サーバーアドレスである。
- conceitosseg[.]com/upload/
- integrasidata[.]com/upload/
- ozentekstil[.]com/upload/
- finbelportal[.]com/upload/
- telanganadigital[.]com/upload/
- nusurtal4f[.]net/
- netomishnetojuk[.]net/
- netomishnetojuk[.]net/
- nick22doom4[.]net/
- wrioshtivsio[.]su/
- nusotiso4[.]su/
- rickkhtovkka[.]biz/
- palisotoliso[.]net/
- 999080321newfolder100231-service1022020[.]ru/
- 999080321newfolder100221-service1022020[.]ru/
- 999080321newfolder1002-012525999080321[.]ml/
- 999080321newfolder1002-012625999080321[.]ga/
- 999080321newfolder1002-012725999080321[.]cf/
- 999080321newfolder1002-012825999080321[.]gq/
Top 3 – RedLine
今週は RedLine マルウェアが8.7%で3位を占めている。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を奪取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることがある。
以下は、確認された RedLine の C&C サーバードメインである。
- hxxps://y40.miraimibun[.]ru
- hxxps://om.miraimibun[.]ru
- hxxp://podarkivsemu[.]ru
Top 4 – CryptBot
今週は CryptBot マルウェアが8.5%で4位を占めている。CryptBot は主にユーティリティダウンロードページを装った不正なサイトで配布されている。該当する不正なサイトは、検索エンジンで特定キーワードを検索すると、上段に表示される。感染すると、各種ユーザー情報の奪取、および追加マルウェアのダウンロードを行う。
以下は、 CryptBot の C&C サーバーアドレスと追加マルウェアのダウンロードアドレスである。
- C&C1: xeihwr75[.]top/index.php
C&C2: moregy07[.]top/index.php
Download URL: lopxep10[.]top/download.php?file=lv.exe - C&C1: aleysn13[.]top/index.php
C&C2: mordmy01[.]top/index.php
Download URL: otiasc01[.]top/download.php?file=lv.exe - C&C1: xeiqvo57[.]top/index.php
C&C2: moraid05[.]top/index.php
Download URL: lopoga07[.]top/download.php?file=lv.exe - C&C1: xeifdt71[.]top/index.php
C&C2: moregy07[.]top/index.php
Download URL: lopxep10[.]top/download.php?file=lv.exe - C&C1: alepez15[.]top/index.php
C&C2: mordmy01[.]top/index.php
Download URL: otiasc01[.]top/download.php?file=lv.exe
配布時のファイル名は以下の通りである。
- setup_x86_x64_install.exe
- p3-both.exe
- Setup.exe
Top 5 – BeamWinHTTP
7.5%で5位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- hxxp://gcl-partners[.]in/decision.php
- hxxp://g-partners[.]live/installer.php
Categories:総計