ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、主要マルウェアに対する分類および対応を進めている。ここでは、2021年7月26日(月)から2021年8月1日(日)までに収集された1週間の統計を整理する。
大分類の上ではインフォスティーラーが48.2%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが25.8%、ダウンローダーが13.0%、コインマイナー(CoinMiner)が8.6%、ランサムウェアが4.2%、Ddosが0.3%の順に集計された。
Top 1 – RedLine
RedLine マルウェアが18.0%で、先週に続き1位を占めている。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を奪取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることがある。
以下は、確認された RedLine の C&C サーバードメインである。
- hxxps://all-brain-company[.]xyz/
- hxxp://yarinefatt[.]xyz
- hxxp://zertypelil[.]xyz
- hxxp://ivaloribar[.]xyz/
- hxxp://naxunarium[.]xyz/
- hxxp://salkefard[.]xyz/
- hxxp://verecalina[.]xyz/
Top 2 – BeamWinHTTP
11.1%で2位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
https://asec.ahnlab.com/jp/20924/
以下は、確認された C&C サーバーアドレスである。
- hxxp:///gc-prtnrs[.]top/decision.php
Top 3 – CryptBot
今週は CryptBot マルウェアが9.7%で3位を占めている。CryptBot は主にユーティリティダウンロードページを装った不正なサイトから配布されている。該当する不正なサイトは、検索エンジンで特定キーワードを検索すると、上段に表示される。感染すると、各種ユーザー情報の奪取、および追加マルウェアのダウンロードを行う。
https://asec.ahnlab.com/jp/23691/
以下は、 CryptBot の C&C サーバーアドレスと追加マルウェアのダウンロードアドレスである。
- C&C1: wymkjd37[.]top/index.php
C&C2: moriue03[.]top/index.php
Download URL: hofxuo04[.]top/download.php?file=lv.exe - C&C1: smanik53[.]top/index.php
C&C2: morzie05[.]top/index.php
Download URL: gurqfo07[.]top/download.php?file=lv.exe - C&C1: smaoez65[.]top/index.php
C&C2: mortuh06[.]top/index.php
Download URL: gurswi09[.]top/download.php?file=lv.exe - C&C1: smauxw61[.]top/index.php
C&C2: mortuh06[.]top/index.php
Download URL: gurswi09[.]top/download.php?file=lv.exe
配布時のファイル名は以下の通りである。
- main_setup_x86x64.exe
- p3-signed.exe
- Setup.exe
- setup_installer.exe
- setup_x86_x64_install.exe
- setuplauncher_v2.exe
- setuplauncher_v3.exe
- x86_x64_setup.exe
Top 4 – Glupteba
8.6%を占めており、4位を記録した Glupteba は、 Go 言語(Golang)で開発されたマルウェアである。多数の追加モジュールをダウンロードし、複数の機能を持っているが、実質的には XMR (モネロ) CoinMiner をインストールする、CoinMiner マルウェアである。
Glupteba は、実行すると UAC Bypass を経て TrustedInstaller の権限を利用してシステム権限を取得する。そして、C:Windowsrsscsrss.exe の名前で正常なプロセスに偽装し、システムに常駐する。その後、追加モジュールをダウンロードするが、その対象にはプロセスおよびファイルを非表示にするためのルートキットドライバがあり、最終的にインストールされるものとしては、XMR CoinMiner および SMB の脆弱性を利用した伝播のための Eternal Blue パッケージがある。
現在確認されている Glupteba の大半は、PUP を通してダウンロードされる方式で拡がっている。PUP を通して拡散しているにもかかわらず、過去のブログで述べた MalPe パッカーのアウトラインを持つという点が特徴である。
参考に、MalPe パッカーのアウトラインを持つマルウェアには大きく分けて Exploit Kit を通して拡散される方式と、PUP および以下の Vidar マルウェアの拡散事例のように正常なプログラムに偽装して拡散される方式がある。
https://asec.ahnlab.com/jp/16631/
[追加モジュールのダウンロードアドレス]
- hxxps://spolaect[.]info
[C&C サーバーアドレス]
- hxxps://ninhaine[.]com
- hxxps://2makestorage[.]com
- hxxps://nisdably[.]com
Top 5 – AgentTesla
AgentTesla は7.2%を占めており、5位となった。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。
- serv-10708.handsonwebhosting[.]com
sender: droid@multillantaszl[.]com
receiver: droid@multillantaszl[.]com
user: droid@multillantaszl[.]com
pw: icui****@@ - smtp.saisianket-tech[.]com
sender: akibapen@saisianket-tech[.]com
receiver: akibapen@saisianket-tech[.]com
user: akibapen@saisianket-tech[.]com
pw: oluwag****123 - us2.smtp.mailhostbox[.]com
sender: paola.micheli@copangroup[.]xyz
receiver: paola.micheli@copangroup[.]xyz
user: paola.micheli@copangroup[.]xyz
pw: gibs****990
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- XP010-61.exe
- scan0012330.PDF_________________________________________.exe
- 委外订单-启绩物料6-1-2.exe
Categories:総計