ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年10月18日(月)から2021年10月24日(日)までに収集された1週間の統計を整理する。
大分類の上ではインフォスティーラーが62.0%と1位を占めており、その次にダウンローダーが20.2%、RAT(Remote Administration Tool)マルウェアが6.7%、バックドアマルウェアが5.3%、ランサムウェアが4.2%、バンキングマルウェアが0.9%、コインマイナー(CoinMiner)が0.7%と集計された。
Top 1 – AgentTesla
AgentTesla は22.9%で1位を占めている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。
- mail.securido[.]my (35.213.138[.]9)
sender : customer.service@securido[.]my
receiver : customer.service@securido[.]my
user : customer.service@securido[.]my
pw : secur*****11 - us2.smtp.mailhostbox[.]com (208.91.198[.]143)
sender : sales@tanimas-id[.]com
receiver : sales@tanimas-id[.]com
pw : !xg****3 - mail.kpnmail[.]nl (195.121.65[.]26)
sender : tabakspeciaalzaak.everse@kpnmail[.]nl
receiver : mamaputmamaput175@gmail[.]com
user : tabakspeciaalzaak.everse@kpnmail[.]nl
pw : Gij****n1
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- AYMENT FOR OVERDUE INVOICE1.exe
- SWIFT ADVISE 230984.exe
- PEDIDO_D.EXE
- ADNOC DOCUMENTS.exe
- ADNOC BID DOCUMENTS.exe
- SWIFT MT760_PDF 18-10-21_PDF.exe
- RFQ-293742.8900203.exe
- order as urgent.exe
Top 2 – BeamWinHTTP
19.1%で2位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
以下は、確認された C&C サーバーアドレスである。
- hxxp://45.9.20[.]13/partner/loot.php?pub=mixsix
- hxxp://myloveart[.]top/getFile.php?source=MIX3h1
Top 3 – Formbook
Formbook はインフォスティーラー型マルウェアとして15.8%を占めており、3位に名が上がった。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- DELAY NOTICE (CAUQUENES V-2141E) – 出貨通知書–光國.scr
- villarzx.exe
- P.O-#0987 SPECIFICATIONS AND DIAGRAM.exe
- Order doc.exe
- PO03214890.exe
- PO 0008293.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.anysignals[.]net/g53s/
- hxxp://www.saint444[.]com/fqiq/
- hxxp://www.cunnters[.]com/bkqi/
- hxxp://www.bulukx[.]com/ssee/
- hxxp://www.teneses[.]com/yjqn/
Top 4 – Lokibot
今週は Lokibot が8.9%を占めており、 4位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
スパムメールを通して配布される他のマルウェアのようにスパムメール形式で配布されることにより、類似した配布ファイル名を持つ。
- 요청자료목록_5435804.exe(翻訳:リクエスト資料リスト_5435804.exe)
- P.O#4567677 1044-185144.exe
- APK PO# 4505435804.exe
- TBHD_539.EXE
- Se***ng Ref No. MQ-3018 & MQ-3019.exe
- TDH_1366621005IMG.exe
大半の Lokibot マルウェアの C&C サーバーは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://frinqy[.]gq/apps/fre.php
- hxxp://checkvim[.]com/fd7/fre.php
- hxxp://63.250.40[.]204/~wpdemo/file.php
- hxxp://37.0.10[.]190/non/z/pin.php
- hxxp://74f26d34ffff049368a6cff8812f86ee[.]gq/BN111/fre.php
- hxxp://bobbyelectronics[.]xyz/five/fre.php
- hxxp://jinolla[.]cf/states/fre.php
- hxxp://23.254.225[.]235/flex/fre.php
Top 5 – Tofsee
5.3%5位を占めた Tofsee はバックドア型マルウェアである。主にエクスプロイトキット(Exploit Kit)を通じて配布されており、C&C に接続した後、マイニング、スパムメール、DDos など様々な機能を持つ追加の不正モジュールをダウンロードできるマルウェアである。
以下は、確認された C&C サーバーアドレスである。
- hxxps://defeatwax[.]ru
- hxxps://quadoil[.]ru
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計