ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年8月9日(月)から2021年8月15日(日)までに収集された1週間の統計を整理する。
大分類の上ではインフォスティーラーが66.6%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが21.3%、ダウンローダーとCoin Miner が5.3%、ランサムウェアが1.4%、バンキングマルウェアが0.2%と集計された。
Top 1 – Vidar
今週は Vidar が13.6%を占めており、1位となった。Vidar は代表的なインフォースティーラー/ダウンローダーマルウェアである。Vidar は Web ブラウザ、FTP、ビットコインウォレットアドレス、スクリーンショットなどのインフォスティーラー機能以外にも、追加でマルウェアをダウンロードできる機能が存在する。
以下のブログでわかるように、周期的に韓国国内のユーザーをターゲットに、スパムメールで拡散している、また、スパムメールの添付ファイルに存在する圧縮ファイル内部に、他のランサムウェアも存在するのが特徴である。
https://asec.ahnlab.com/jp/23064/
以下は Vidar マルウェアの情報流出機能についての分析情報である。
https://asec.ahnlab.com/jp/16787/
該当期間に使用された C&C アドレスは以下の通りである。
- hxxp://116.203.127[.]162/517
- hxxp://kckark[.]xyz/main.php
- hxxp://23.88.49[.]119/706
- hxxp://176.123.2[.]239/517
Top 2 – RedLine
RedLine マルウェアは13.4%で2位になっている。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を奪取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることがある。
以下は、確認された RedLine の C&C サーバードメインである。
- hxxp://sytareliar[.]xyz/
- hxxp://yabelesatg[.]xyz/
- hxxp://sandedean[.]xyz/
- hxxp://iryarahara[.]xyz/
- hxxp://ssissmongo[.]xyz/
Top 3 – AgentTesla
AgentTesla は12.3%を占めており、3位となった。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。
- smtp.gmail[.]com (173.194.76[.]108)
sender : aalahajirazak.ibrahim@gmail[.]com
receiver : aalahajirazak.ibrahim@gmail[.]com
user : aalahajirazak.ibrahim@gmail[.]com
pw : sontcehkw***wuqj - serv-10708.handsonwebhosting[.]com (107.152.108[.]114)
sender : emma@multillantaszl[.]com
receiver : emma@multillantaszl[.]com
user : emma@multillantaszl[.]com
pw : icui4***@@ - mail.karanex[.]com (185.8.128[.]141)
sender : sales@karanex[.]com
receiver : sales@karanex[.]com
user : sales@karanex[.]com
pw : roz%***3
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- Reconfirm payment invoice #Order396541.exe
- 07.08.0260.exe
- WTR BFV 156 -Rev4.exe
- Supply Damages&TT_pay swift.exe
- NT1-20-7262-AGA-PurchaseOrder.exe
- COMPROBANTE.PDF.bat
- Banamex__Pago_07768843.pdf.exe
- Pulley Specification.exe
- sample.exe
Top 4 – Formbook
Formbook はインフォスティーラー型マルウェアとして9.6%を占めており、4位に名が上がった。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- quote.exe
- 2021_08_10_scan00744.exe
- Apol_Order_100821.exe
- SOA invoice.exe
- Order-H21811.exe
- CATALOG & ORDER LIST.Pdf.exe
- PO2-1874.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を奪取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.atlerz[.]com/glgd/
- hxxp://www.psm-gen[.]com/cg53/
- hxxp://www.atlerz[.]com/glgd/
- hxxp://www.racevc[.]com/ur5u/
- hxxp://www.afcerd[.]com/chad/
- hxxp://www.baincot[.]com/nins/
- hxxp://www.solevux[.]com/fw3d/
- hxxp://www.nieght[.]com/i6sj/
- hxxp://www.abrosnm3[.]com/rqe8/
- hxxp://www.blinbins[.]com/q4kr/
- hxxp://www.bulukx[.]com/ixwn/
Top 5 – Smoke Loader
Smoker Loader は、インフォスティーラー/ダウンローダーマルウェアとして、7.2%の割合で今週の5位を占めている。Smoker Loaderに関連した分析レポートは、以下の ASEC レポートを参考にしてほしい。
[PDF] ASEC REPORT vol.101_한층 업그레이드된 최신판 스모크로더(Smoke Loader), 전격해부
(翻訳:[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖)
*韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- conceitosseg[.]com/upload/
- integrasidata[.]com/upload/
- ozentekstil[.]com/upload/
- finbelportal[.]com/upload/
- telanganadigital[.]com/upload/
- khaleelahmed[.]com/upload/
- twvickiassociation[.]com/upload/
- www20833[.]com/upload/
- cocinasintonterias[.]com/upload/
- masaofukunaga[.]com/upload/
- gnckids[.]com/upload/
- aucmoney[.]com/upload/
- thegymmum[.]com/upload/
- atvcampingtrips[.]com/upload/
- kuapakualaman[.]com/upload/
- renatazarazua[.]com/upload/
- nasufmutlu[.]com/upload/
Categories:総計