ASEC マルウェア週間統計 ( 20211011~20211017 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年10月11日(月)から2021年10月17日(日)までに収集された1週間の統計を整理する。

大分類の上ではインフォスティーラーが58.2%と1位を占めており、その次にダウンローダーが24.6%、RAT(Remote Administration Tool)マルウェアが7.4%、バックドアマルウェアが4.7%、ランサムウェアが4.1%、バンキングマルウェアが0.9%と集計された。


Top 1 –  BeamWinHTTP

今週の統計で23.7%1位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

以下は、確認された C&C サーバーアドレスである。

  • hxxp://ggg-cl[.]biz/stats/1.php
  • hxxp://45.9.20[.]13/partner/loot.php?pub=mixinte
  • hxxp://ppp-gl[.]biz/check.php


Top 2 –  AgentTesla

AgentTesla は18.1%で2位を占めている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。

  • mail.globalmedical[.]nl (185.104.29[.]70)
    sender : vic@globalmedical[.]nl
    receiver : sarah_borte.com.cn@dr[.]com
    user : vic@globalmedical[.]nl
    pw : W3ox****RhJV
  • smtp.copangroup[.]xyz (194.195.211[.]26)
    sender : paola.micheli@copangroup[.]xyz
    receiver : paola.micheli@copangroup[.]xyz
    user : paola.micheli@copangroup[.]xyz
    pw : gi****.1990
  • mail.appalliser[.]com (185.237.206[.]6)
    sender : newwork1@appalliser[.]com
    receiver : newwork2@appalliser[.]com
    user : newwork1@appalliser[.]com
    pw : !%RvA****Sn

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

  • SWIFT MT760_PDF (2).exe
  • RFQ NO. SAM-AM912042_PDF.exe
  • comprobante.pdf.exe
  • Doc.6578000.pdf.exe
  • comprobante de pago.PDF.bat
  • copia de pago_pdf___________________________.exe
  • PO 05311.exe


Top 3 – Formbook

Formbook はインフォスティーラー型マルウェアとして14.2%を占めており、3位に名が上がった。

https://asec.ahnlab.com/ko/20812/(韓国語のみ提供)

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • bbrrq12345.exe
  • SA00007089 – SİPARİŞ FORMU.exe
  • PI#3931000689_pdf____________________________.exe
  • LPO NO – 19615.exe
  • audio.exe
  • vbc.exe
  • d0bd09.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。

https://asec.ahnlab.com/ko/20373/(韓国語のみ提供)

  • hxxp://www.kufazo[.]online/rv9n/
  • hxxp://www.dirums[.]online/mg0t/
  • hxxp://www.sasanos[.]com/mxnu/
  • hxxp://www.besrbee[.]com/mexq/
  • hxxp://www.besasin09[.]com/pfrp/
  • hxxp://www.norllix[.]com/ni8b/
  • hxxp://www.tes5ci[.]com/g91q/
  • hxxp://www.pokvy[.]online/jw9u/
  • hxxp://www.renaziv[.]online/ss5s/
  • hxxp://www.bits-clicks[.]com/a49i/
  • hxxp://www.afcerd[.]com/o4ms/


Top 4 –  Lokibot

今週は Lokibot が12.2%を占めており、 4位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/ko/1374/(韓国語のみ提供)

スパムメールを通して配布される他のマルウェアのようにスパムメール形式で配布されることにより、類似した配布ファイル名を持つ。

  • PO721900.exe
  • Monthly Tax Audit.exe
  • SO21101311001877.exe
  • NEW PURCHASE ORDER 374785895.exe 
  • vbc.exe
  • NSSLHCICC2102824.exe
  • S55-21011258.exe
  • SE-GL-211012A-SM VN BCI.exe
  • DOC100921-101220211101.exe

大半の Lokibot マルウェアの C&C サーバーは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://23.254.225[.]235/wjj/fre.php
  • hxxp://checkvim[.]com/fd11/fre.php
  • hxxp://akiwinds.duckdns[.]org/chats/fre.php
  • hxxp://frinqy[.]gq/apps/fre.php
  • hxxp://37.0.10[.]190/300/n2/pin.php
  • hxxp://checkvim[.]com/fd4/fre.php
  • hxxp://frinqy[.]gq/apps/fre.php
  • hxxp://74f26d34ffff049368a6cff8812f86ee[.]gq/BN111/fre.php
  • hxxp://23.254.225[.]235/main1/fre.php


Top 5 –  SnakeKeylogger

7.7%で5位を占めた SnakeKeylogger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。

このマルウェアは AgentTesla と同様に、収集した情報を流出させる際に、メールサーバーおよびユーザーアカウントを利用しており、最近流入したサンプルが利用しているアカウントは以下の通りである。

  • us2.smtp.mailhostbox[.]com (208.91.198[.]143)
    sender: abs.metal@mtech-edu[.]com
    receiver: abs.metal@mtech-edu[.]com
    user: abs.metal@mtech-edu[.]com
    pw: iF****F5
  • mail.alliedhealthga[.]com (107.180.56[.]180)
    sender: info@alliedhealthga[.]com
    receiver: info@alliedhealthga[.]com
    user: info@alliedhealthga[.]com
    pw: Si****k1
  • mail.anglifesciences[.]com (192.185.160[.]32)
    sender: tab5@anglifesciences[.]com
    receiver: darl@eze-love[.]com
    user: tab5@anglifesciences[.]com
    pw: Healthc****456

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments