Posted By ,

ASEC マルウェア週間統計 ( 20210920~20210926 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年9月20日(月)から2021年9月26日(日)までに収集された1週間の統計を整理する。

大分類の上ではインフォスティーラーが56.3%と1位を占めており、その次にダウンローダーが30.1%、RAT(Remote Administration Tool)マルウェアが9.5%、Coin Miner が2.2%、ランサムウェアが1.7%、バックドアマルウェアが0.3%と集計された。


Top 1 –  BeamWinHTTP

29.5%で1位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

以下は、確認された C&C サーバーアドレスである。

  • cleaner-partners[.]biz
  • cleaner-partners[.]ltd


Top 2 –  AgentTesla

AgentTesla は12.0%を占めており、2位となった。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。

  • smtp.northbey-medical[.]com
    sender : tom@northbey-medical[.]com
    receiver : tom@northbey-medical[.]com
    user : tom@northbey-medical[.]com
    pw : XR****A7
  • mail.priserveinfra[.]com
    sender : operations@priserveinfra[.]com
    receiver : operations@priserveinfra[.]com
    user : operations@priserveinfra[.]com
    pw : oppi****1019
  • apolloscreens[.]com
    sender : ssharma@apolloscreens[.]com
    receiver : morebillions08@yandex[.]com
    user : ssharma@apolloscreens[.]com
    pw : sshar****34#$

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

  • PURCHASE_ORDER_SEPT.exe
  • INV, BL, PL.exe
  • Shipping_Documents.exe
  • Bank_details.exe
  • Documents.exe
  • Purchase_order_No_7839.exe
  • Purchase_order.exe
  • PO.exe
  • PO.21090351_PDF.exe
  • PO_4500151298.exe
  • PO 9661051.exe
  • PO_166737.pdf.exe
  • HHM Industrial – PO44938.exe
  • Swift_6408372.exe
  • DOC.exe
  • New Order.exe
  • New purchase order____pdf.exe
  • ödeme makbuzu-iş bankası.PDF.exe


Top 3 – Formbook

Formbook はインフォスティーラー型マルウェアとして11.4%を占めており、3位に名が上がった。

https://asec.ahnlab.com/ko/20812/(韓国語のみ)

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • 最終見積書00338383923.exe
  • New Order Specifications Pdf.exe
  • PRICE_REQUEST_QUOTATION.exe
  • SWIFT_Transfer_103_0034OTT21000123_8238174530.PDF.exe
  • Payment_Proof_pdf.exe
  • BL_INVOICE_DOCUMENTS,Shipping Documents_pdf__________________________________.exe
  • BL_INVOICE_DOCUMENTS documentos de envío-pdf___.exe
  • Quotation_pdf______________.exe
  • SBGW#001232021.exe
  • Quotation_-_Urgent.exe
  • Statement_of_Account.exe
  • quote_price_request.exe
  • product specifications.exe
  • LOI-september ending.exe
  • Urgent_Quote.exe
  • Orden de compra.exe
  • Quotation_&_Sample_Designs.PDF.exe
  • Pedido_de_productos.exe
  • NEW_ORDER_RE_PO88224.PDF.exe
  • jgc-0157 project rfp-s-0066.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を奪取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。

https://asec.ahnlab.com/ko/20373/(韓国語のみ)

  • hxxp://www.gentciu[.]com/ajki/
  • hxxp://www.bulukx[.]com/ssee/
  • hxxp://www.bandiu[.]xyz/h2m4/
  • hxxp://www.ranbix[.]com/noha/
  • hxxp://www.tracks-clicks[.]com/gjeh/
  • hxxp://www.probinns[.]com/9gdg/
  • hxxp://www.cablinqee[.]com/tows/
  • hxxp://www.norllix[.]com/etaf/


Top 4 –  CryptBot

CryptBot マルウェアが9.5%で4位を占めている。CryptBot は PUP プログラムを通してダウンロードされ、追加で情報奪取およびマルウェアをダウンロードする機能を持つ。

https://asec.ahnlab.com/jp/23691/

CryptBot は主に Google で特定のキーワードを検索すると表示されるユーティリティプログラムのダウンロードページに偽装したフィッシングサイトから拡散している。

以下は、確認された CryptBot の C&C サーバーアドレスと追加マルウェアのダウンロードアドレスである。

  • C&C 1 : xokjtn31[.]top/index.php
    C&C 2 : morqjr03[.]top/index.php
    Download URL : diayco04[.]top/download.php?file=lv.exe
  • C&C 1 : duoohr71[.]top/index.php
    C&C 2 : morfev07[.]top/index.php
    Download URL : cazpfo10[.]top/download.php?file=lv.exe
  • C&C 1 : xokqny13[.]top/index.php
    C&C 2 : morlom01[.]top/index.php
    Download URL : diavoq01[.]top/download.php?file=lv.exe
  • C&C 1 : xokyet77[.]top/index.php
    C&C 2 : mordyf07[.]top/index.php
    Download URL : diawrg10[.]top/download.php?file=lv.exe
  • C&C 1 : bahnf34[.]top/index.php
    C&C 2 : morwhy03[.]top/index.php
    Download URL : akrvt04[.]top/download.php?file=lv.exe

ユーティリティプログラムのダウンロードページに偽装したフィッシングサイトから配布されるファイル名は、以下の通りである。

  • setup_x86_x64_install.exe
  • setup.exe
  • Main-Install-v4.9.exe
  • setupProv2.3.exe
  • Main-Install-v7.1.exe
  • Main-Install-v1.0.exe


Top 5 –  SnakeKeylogger

8.1%で5位を占めた SnakeKeylogger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。

https://asec.ahnlab.com/jp/22111/

このマルウェアは AgentTesla と同様に、収集した情報を流出させる際に、メールサーバーおよびユーザーアカウントを利用しており、最近流入したサンプルが利用しているアカウントは以下の通りである。

  • mail.faks-allied-health[.]com
    sender: info@faks-allied-health[.]com
    receiver: wealthmyson@yandex[.]com
    user: info@faks-allied-health[.]com
    pw: $Fa***234
  • smtp.hostinger[.]mx
    sender: luis@lar.com[.]mx
    receiver: saleseuropower@yandex[.]com
    user: luis@lar.com[.]mx
    pw: 8HBJ***kOi3/7yB
  • smtp.aruscomext[.]com
    sender: sales@aruscomext[.]com
    receiver: sales@aruscomext[.]com
    user: sales@aruscomext[.]com
    pw: uE***)v7

他のインフォスティーラー型マルウェアと同様に、送り状(Invoice)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されることから、ファイル名もこれと類似している。

  • COMTAC LISTA URGENTE ORDEN 92121pdf.exe
  • Swift_6408372.exe
  • proforma_invoice_098756.exe
  • ABONOF2201.exe
  • PO_4500151298.exe
  • Quotation_-Scan001_No-_9300340731.doc.exe
  • price list..exe
  • COMTAC LISTA URGENTE ORDEN 92121pdf.exe
  • PO09858.exe
  • new_order.exe
  • bank_in_slip.exe

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

Tagged as:

5 1 vote
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments