Posted By ,

ASEC マルウェア週間統計 ( 20210927~20211003 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年9月27日(月)から2021年10月03日(日)までに収集された1週間の統計を整理する。

大分類の上ではインフォスティーラーが63.2%と1位を占めており、その次にダウンローダーが19.2%、RAT(Remote Administration Tool)マルウェアが10.7%、バックドアマルウェアが3.7%、ランサムウェアが1.9%、CoinMiner が1.1%、バンキングマルウェアが0.2%と集計された。


Top 1 –  AgentTesla

AgentTesla は18.4%で BeamWinHTTP と同率1位になった。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。

  • smtp.privateemail[.]com
    sender : aammorris@askoblue[.]com
    receiver : aammorris@askoblue[.]com
    user : aammorris@askoblue[.]com
    pw : offi***2#
  • mail.segurosramiro[.]com
    sender : chf@segurosramiro[.]com
    receiver : chf@segurosramiro[.]com
    user : chf@segurosramiro[.]com
    pw : Mx]G~~***0q=
  • mail.aust-grp[.]com
    sender : message@aust-grp[.]com
    receiver : naturesilver@yandex[.]com
    user : message@aust-grp[.]com
    pw : M2ai6lte4***ka7d8

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

  • 211913490 – BL.exe
  • EquipmentMaterialServices.exe
  • HSBC Payment Advice_PDF.scr
  • New Order – N.C.R. Engineering (2).exe
  • New Order 86-55113pdf.exe
  • Offer-requirement NO. 9-28-2021.exe
  • Orient-Q21-0919..exe
  • P-list – PO SO-203 (1st Container).exe
  • PO-050893.pdf.exe
  • quotation.exe
  • TNT Original Invoice.exe


Top 1 –  BeamWinHTTP

AgentTesla と同じく18.4%で同率1位となった BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

以下は、確認された C&C サーバーアドレスである。

  • 194.145.227[.]161


Top 3 – Formbook

Formbook はインフォスティーラー型マルウェアとして10.3%を占めており、3位に名が上がった。

https://asec.ahnlab.com/ko/20812/

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • 9月分精算書発送の件 ( USD 13,551.18 ).exe
  • (inv 768000 ).exe
  • (SW-FM-2021 ).exe
  • DN_2467899246.exe
  • DN02468001.exe
  • Order_Confirmation.PDF.exe
  • PO25810064.exe
  • price_request_quotation.exe
  • product specifications.exe
  • Purchase Order.exe
  • quote_price_request.exe
  • RFQ57355pdf.exe
  • SCM21&SKD11.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。

https://asec.ahnlab.com/ko/20373/

  • hxxp://www.norllix[.]com/gab8/
  • hxxp://www.norllix[.]com/jdt0/
  • hxxp://www.probinns[.]com/m0np/
  • hxxp://www.cantluc[.]xyz/bckt/
  • hxxp://www.nilist[.]xyz/r95e/
  • hxxp://www.gentciu[.]com/hht8/


Top 4 – Smoke Loader

Smoke Loader は、インフォスティーラー/ダウンローダーマルウェアとして、9.5%の割合で今週の4位を占めている。Smoke Loaderに関連した分析レポートは、以下の ASEC レポートを参考にしてほしい。

[PDF] ASEC REPORT vol.101_한층 업그레이드된 최신판 스모크로더(Smoke Loader), 전격해부
(翻訳:[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖) *韓国語/英語版のみ提供

以下は、確認された C&C サーバーアドレスである。

  • best-forsale[.]com/upload/
  • camasirx[.]com/upload/
  • chmxnautoparts[.]com/upload/
  • gmpeople[.]com/upload/
  • govsurplusstore[.]com/upload/
  • kwazone[.]com/upload/
  • lecanardstsornin[.]com/upload/
  • m3600[.]com/upload/
  • mile48[.]com/upload/


Top 5 –  Lokibot

今週は Lokibot が7.3%を占めており、 5位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/ko/1374/

スパムメールを通して配布される他のマルウェアのようにスパムメール形式で配布されることにより、類似した配布ファイル名を持つ。

  • 中国輸出用.exe
  • (SW-FM-2021 ).exe
  • 321060 Apsun Inc..exe
  • 321068 Apsun Inc..exe
  • 321768 apsun inc..exe
  • 391068 apsun inc..exe
  • INVOICE 18083-INV-P.exe
  • lista de precios y nueva cotización.PDF.__________________________.bat
  • ORDER.exe
  • order_form.exe
  • Payment_Advice.exe
  • PO 210928-03A.exe
  • PO 210930-0032A.exe
  • PO 290921-021A.exe
  • po 290929-021a.exe
  • PURCHASE.exe
  • Quotation_SD-210929.exe
  • SCM21&SKD11.exe
  • SMK_15587 90426.exe

大半の Lokibot マルウェアの C&C サーバーは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://checkvim[].com/ga16/fre.php
  • hxxp://lokich[.]xyz/uu/koko/mm.php
  • hxxp://vihaiha[.]com/.vik/aill/hall/the/new/fre.php
  • hxxp://74f26d34ffff049368a6cff8812f86ee[.]gq/BN111/fre.php
  • hxxp://checkvim[.]com/ga14/fre.php
  • hxxp://136.243.159[.]53/~element/page.php
  • hxxp://23.254.225[.]235/flex/fre.php
  • hxxp://23.254.225[.]235/flex/fre.php
  • hxxp://23.254.225[.]235/uyaka/fre.php
  • hxxp://23.254.225[.]235/wj/fre.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

Tagged as:

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments