ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、主要マルウェアに対する分類および対応を進めている。ここでは、2021年7月19日(月)から2021年7月25日(日)までに収集された1週間の統計を整理する。
大分類の上ではインフォスティーラーが54.7%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが23.6%、コインマイナー(CoinMiner)が9.2%、ダウンローダーが8.0%、ランサムウェアが2.4%、バッグドアが1.7%の順に集計された。
Top 1 – RedLine
今週は RedLine マルウェアが9.2%で、1位を占めている。集計された数は2位の Glupteba と同じであるが、統計では除外される韓国国外で集計されたサンプルまで含めると RedLine の方が数が多いため、1位に分類されている。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を奪取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることがある。
以下は、確認された RedLine の C&C サーバードメインである。
- hxxp://yarinefatt[.]xyz
- hxxp://vahodedian[.]xyz
- hxxp://periatilll[.]xyz
- hxxp://kalamaivig[.]xyz
- hxxp://ivaloribar[.]xyz
- hxxp://ieynanerin[.]xyz
- hxxp://eraynabrha[.]xyz
Top 2 – Glupteba
9.2%を占めており、2位を記録した Glupteba は、 Go 言語(Golang) で開発されたマルウェアである。多数の追加モジュールをダウンロードし、複数の機能を持っているが、実質的には XMR (モネロ) CoinMiner をインストールするCoinMiner マルウェアである。
Glupteba は、実行すると UAC Bypass を経て TrustedInstaller の権限を利用してシステム権限を取得する。そして、C:Windowsrsscsrss.exe の名前で正常なプロセスに偽装し、システムに常駐する。その後、追加モジュールをダウンロードするが、その対象にはプロセスおよびファイルを非表示にするためのルートキットドライバがあり、最終的にインストールされるものとしては、XMR CoinMiner および SMB の脆弱性を利用した伝播のための Eternal Blue パッケージがある。
現在確認されている Glupteba の大半は、PUP を通してダウンロードされる方式で拡がっている。PUP を通して拡散しているにもかかわらず、過去のブログで述べた MalPe パッカーのアウトラインを持つという点が特徴である。
参考に、MalPe パッカーのアウトラインを持つマルウェアには大きく分けて Exploit Kit を通して拡散される方式と、PUP および以下の Vidar マルウェアの拡散事例のように正常なプログラムに偽装して拡散される方式がある。
https://asec.ahnlab.com/jp/16631/
[追加モジュールのダウンロードアドレス]
- hxxps://spolaect[.]info
[C&C サーバーアドレス]
- hxxps://ninhaine[.]com
- hxxps://2makestorage[.]com
- hxxps://nisdably[.]com
Top 3 – AgentTesla
AgentTesla は8.6%を占めており、3位となった。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。
- mail.kenmascs[.]com
sender: info@kenmascs[.]com
receiver: info@kenmascs[.]com
user: emails2021emails@yandex[.]com
pw: Ken****4! - smtp.vivaldi[.]net
sender: billions101@vivaldi[.]net
receiver: billions101@vivaldi[.]net
user: billions101@vivaldi[.]net
pw: Great#@****909()*&^ - mail.enerzi[.]co
sender: abudhabioffice@upgeng[.]com
receiver: abudhabioffice@upgeng[.]com
user: abudhabioffice@upgeng[.]com
pw: U****45+
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- SWIFT_987867T8E.exe
- SJ-21-0512-01(POM-213620) R1.exe
- RFQ__JICPRHR10633.exe
- REMITANCE 103_03435_210408_BSA_.exe
- Released_Order.exe
- PAYMENT_PROOF.exe
- payment $67,830.00.exe
- PAGO FACTURA 3802.exe
- Order_4110043899.exe
- ORDER.exe
- order 001.exe
- NEW_ORDER.exe
- MRKU8781602_DOCS.exe
- Jose_Luis_Ezeiza.cv7-19-2021.exe
- DHL_Shipment_Confirmation_CBJ190517000131.exe
- DHL SHIPPING INVOICE COPYS.exe
- Deposit_slip.exe
- Commercial_Invoice.exe
- bl-invoice-shipping documents.exe
Top 4 – CryptBot
今週は CryptBot マルウェアが8.5%で4位を占めている。CryptBot は主にユーティリティダウンロードページを装った不正なサイトで配布されている。該当する不正なサイトは、検索エンジンで特定キーワードを検索すると、上段に表示される。感染すると、各種ユーザー情報の奪取、および追加マルウェアのダウンロードを行う。
https://asec.ahnlab.com/jp/23691/
以下は、 CryptBot の C&C サーバーアドレスと追加マルウェアのダウンロードアドレスである。
- C&C1: wymocd61[.]top/index.php
C&C2: morxek06[.]top/index.php
Download URL: hofvit08[.]top/download.php?file=lv.exe - C&C1: smaqjz21[.]top/index.php
C&C2: moryuf02[.]top/index.php
Download URL: guremd03[.]top/download.php?file=lv.exe - C&C1: smaxgr31[.]top/index.php
C&C2: morers03[.]top/index.php
Download URL: gurswj04[.]top/download.php?file=lv.exe - C&C1: smakpy41[.]top/index.php
C&C2: morbea04[.]top/index.php
Download URL: gurdgo06[.]top/download.php?file=lv.exe - C&C1: smapet51[.]top/index.php
C&C2: morzie05[.]top/index.php
Download URL: gurqfo07[.]top/download.php?file=lv.exe - C&C1: smasuq55[.]top/index.php
C&C2: morzie05[.]top/index.php
Download URL: gurqfo07[.]top/download.php?file=lv.exe
配布時のファイル名は以下の通りである。
- main_setup_x86x64.exe
- mypleasure.exe
- setup_x86_x64_install.exe
- setup.exe
- 32_64_ver_2_bit.exe
- setup_launcher_n2.exe
- p3.exe
- p6.exe
- p6-2.exe
Top 5 – Formbook
Formbook はインフォスティーラー型マルウェアとして8.2%を占めており、5位に名が上がった。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- 견적 품목 리스트.exe (翻訳:見積品目リスト.exe)
- Swift_Fattura_0093320128_.exe
- SA#2107197743.exe
- quotation.exe
- Proforma_Invoice_signed_copy_july19_doc.exe
- Product_Specifications_Details_331011_RFQ.exe
- Potvrda_narudzbe_predracuna.exe
- PO_9756-NMNBVC.exe
- PO#635900622.exe
- PO#4500046416.PDF.exe
- PI-0387991.exe
- Payment_invoice.exe
- P.O #78574.exe
- NewOrder.exe
- NEW_ORDER.exe
- Invoice 256371kn.exe
- Finance_Quote_Carolina_Construction_Inc._7-9-2021_AA.PDF.exe
- DONG SUNG PO.exe
- Atlantic_spare_parts_Request_for_Quotation.PDF.exe
- #6495PI-29458-2020.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を奪取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.abrosnm3[.]com/a3ea/
- hxxp://www.nieght[.]com/wt5i/
- hxxp://www.valengz[.]com/lt0h/
- hxxp://www.cenfoxy[.]com/bgr7/
- hxxp://www.solisdq[.]info/qmf6/
- hxxp://www.blinbins[.]com/q4kr/
- hxxp://www.cunix88[.]com/synv/
- hxxp://www.brateix[.]info/qcir/
- hxxp://www.rugpat[.]com/vd9n/
- hxxp://www.chaytel[.]com/dxe/
Categories:総計