ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年10月4日(月)から2021年10月10日(日)までに収集された1週間の統計を整理する。
大分類の上ではインフォスティーラーが68.4%と1位を占めており、その次にダウンローダーが12.6%、RAT(Remote Administration Tool)マルウェアが8.6%、バックドアマルウェアが6.3%、ランサムウェアが3.7%、バンキングマルウェアが0.3%と集計された。
Top 1 – AgentTesla
AgentTesla は23.6%で1位を占めている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。
- mail.aldayrawigroup[.]com (206.188.198[.]65)
sender : Mousel_manager@aldayrawigroup[.]com
receiver : Mousel_manager@aldayrawigroup[.]com
user : Mousel_manager@aldayrawigroup[.]com
pw : Hdh*******DG17& - webmail.karanex[.]com (185.8.128[.]141)
sender : kendakenda@karanex[.]com
receiver : kendakenda@karanex[.]com
user : kendakenda@karanex[.]com
pw : zar*****404 - mail.croatiahunt[.]com (116.202.174[.]203)
sender : info@croatiahunt[.]com
receiver : info@croatiahunt[.]com
user : info@croatiahunt[.]com
pw : Vila*****e852
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- CONFIRM INVOICE SM21066V.exe
- Swift Copy MT103.exe
- TNT Shipping Document.exe
- SAMPLE_7.BAT
- COMPROBA.BAT
- PI_NCL210296_PO06618_210909_PDF.exe
- Inquiry List.exe
- lista de precios y nueva cotización.XLXs_______________________________________________________.exe
- comprobante.pdf.bat
- Commercial Invoice-798001.html
- cotización.xls.exe
Top 2 – Lokibot
今週は Lokibot が12.4%を占めており、 2位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
https://asec.ahnlab.com/ko/1374/(韓国語のみ提供)
スパムメールを通して配布される他のマルウェアのようにスパムメール形式で配布されることにより、類似した配布ファイル名を持つ。
- 中国輸出用.exe
- Se***ng Ref No. MQ-3018 & MQ-3019.exe
- Da***a PO 20210208.exe
- PO 211008-01A.exe
- Spec and drawings.exe
- MSR(21-07-10).exe
- Quote.exe
- PO-HX2109B0904.exe
- comprobante.pdf___________________________________________.exe
- vbc.exe
大半の Lokibot マルウェアの C&C サーバーは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://136.243.159[.]53/~element/page.php?id=499
- hxxp://23.254.225[.]235/uyaka/fre.php
- hxxp://vs5p2ck[.]ga/stalker/fre.php
- hxxp://checkvim[.]com/fd4/fre.php
- hxxp://23.254.225[.]235/flex/fre.php
- hxxp://checkvim[.]com/fd7/fre.php
- hxxp://frinqy[.]gq/apps/fre.php
Top 3 – BeamWinHTTP
11.8%で3位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
https://asec.ahnlab.com/jp/20924/
以下は、確認された C&C サーバーアドレスである。
- hxxp://ggg-cl[.]biz/check.php
Top 4 – Smoke Loader
Smoke Loader は、インフォスティーラー/ダウンローダーマルウェアとして、11.2%の割合で今週の4位を占めている。Smoke Loaderに関連した分析レポートは、以下の ASEC レポートを参考にしてほしい。
[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖(韓国語/英語版のみ提供)
以下は、確認された C&C サーバーアドレスである。
- quericeriant20[.]top/
- paishancho17[.]top/
- azarehanelle19[.]top/
- ydiannetter18[.]top/
- fiskahlilian16[.]top/
- mile48[.]com/upload/
- gmpeople[.]com/upload/
- m3600[.]com/upload/
- lecanardstsornin[.]com/upload/
Top 5 – Formbook
Formbook はインフォスティーラー型マルウェアとして10.3%を占めており、5位に名が上がった。
https://asec.ahnlab.com/ko/20812/(韓国語のみ提供)
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- Quotation.exe
- file.exe
- vbc.exe
- Patista48920-394pdf.exe
- detalii_de_livrare.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。
https://asec.ahnlab.com/ko/20373/(韓国語のみ提供)
- hxxp://www.bansity[.]com/hd3a/
- hxxp://www.meet-bait[.]com/shjn/
- hxxp://www.sasanos[.]com/scb0/
- hxxp://www.gentciu[.]com/ajki/
- hxxp://www.norllix[.]com/gab8/
- hxxp://www.sasanos[.]com/b2c0/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計