ASEC マルウェア週間統計 ( 20211101~20211107 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。ここでは、2021年11月1日(月)から2021年11月7日(日)までに収集された1週間の統計を整理する。

大分類の上ではインフォスティーラーが51.8%と1位を占めており、その次にダウンローダーが22.7%、RAT(Remote Administration Tool)マルウェアが19.6%、バックドアマルウェアが2.7%、CoinMiner が1.6%と集計された。


Top 1 –  BeamWinHTTP

22.4%で先週に引き続き1位を占めた BeamWinHTTP は、ダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

以下は、確認された C&C サーバーアドレスである。

  • gcl-gb[.]biz


Top 2 –  AgentTesla

AgentTesla は21.3%を占めており、2位となった。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

最近流入しているサンプルは、収集した情報を流出させる時に以下のようなメールサーバーおよびユーザーアカウントを利用する。

  • mail.medicare-equipment[.]com
    sender : medicare@madicare-equipment[.]com
    receiver : ghostxxz@yandex[.]com
    user : medicare@madicare-equipment[.]com
    pw : AllThe****777
  • mail.emulines[.]biz
    sender : maxi.rosario@emulines[.]biz
    receiver : maxi.rosario@emulines[.]biz
    user : maxi.rosario@emulines[.]biz
    pw : oaOwC****6YR
  • mail.sancaheidelberg.co[.]za
    sender : sandy@sancaheidelberg.co[.]za
    receiver : sandy@sancaheidelberg.co[.]za
    user : sandy@sancaheidelberg.co[.]za
    pw : Syste****00

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも同様に上記のような名前が使用される。また、拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

  • 17869 [order].exe
  • 1MV.BRAVE SAILOR (V.1801) – AGENT NOMINATION (Bunkering Only).exe
  • 2021193746437.XLS.exe
  • BALANCE Confirmation xxls.exe
  • Bank details.exe
  • COPIA DE PAGO TT_pdf_________________________________________.exe
  • DHL9142591441.PDF.exe
  • Quotation.exe
  • sale order.exe
  • SHIP-INVOICE_21DG096-097.XLS.exe
  • SNE.Order_OrisOxin Co..exe
  • SNE-20210123.exe


Top 3 – Formbook

Formbook はインフォスティーラー型マルウェアとして14.2%を占めており、3位に名が上がった。

https://asec.ahnlab.com/ko/20812/

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • 제품 카탈로그23.exe (翻訳:製品カタログ23.exe)
  • commercialJ-80-PM-MRQ-4025-6901.exe
  • DOC.exe
  • Drawings HQ30-DM140.exe
  • Ekli PO No.162223 (Mazak Corporation)pdf.exe
  • inquiry.exe Purchase Order- 10,000 MT.exe
  • Quotation.exe
  • quote s1.GM.220.21.exe
  • RFQref0948321.PDF.exe
  • ScanPMT.exe
  • SURRENDED BL Draft-Sea-Waybill-FLXT-1304583.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。以下は、確認された Formbook の C&C サーバーアドレスである。

https://asec.ahnlab.com/ko/20373/

  • hxxp://www.bainrix[.]com/ahdu/
  • hxxp://www.banceout3[.]com/sywu/
  • hxxp://www.mefacin[.]online/gt4l/
  • hxxp://www.norllix[.]com/gab8/
  • hxxp://www.seo-click7[.]com/cnp0/
  • hxxp://www.wecuxs[.]com/ntfs/
  • hxxp://www.wecuxs[.]/vocn/


Top 4 –  RedLine

RedLine マルウェアが12.8%で4位を占めており、先週に続いて順位を上げている。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることがある。

https://asec.ahnlab.com/ko/18037/

以下は、確認された RedLine の C&C サーバードメインである。

  • piatulusher[.]xyz
  • 135.181.129[.]119:4805
  • 91.121.67[.]60:23325


Top 5 –  Lokibot

Lokibot マルウェアは8.1%を占めており、5位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/ko/1374/

スパムメールを通して配布される他のマルウェアのようにスパムメール形式で配布されることにより、類似した配布ファイル名を持つ。

  • 젠투**브 발주서_T800-3.exe (翻訳:gen2**ve 発注書_T800-3.exe)
  • Se**ong Ref No.MQ-3018 & MQ-3019.exe
  • AWB 8532266141 .jpg.exe
  • PO_445622380.exe
  • Quotation Request..exe
  • SO5040230.exe
  • PO 211102-02B.exe
  • RFQ_SG951021-22.exe
  • PO 211101-002A.exe
  • Offer_sheet_Quotation.exe

大半の Lokibot マルウェアの C&C サーバーは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://203.159.80[.]151/king/fre.php
  • hxxp://23.254.225[.]235/oga/fre.php
  • hxxp://23.254.225[.]235/uyaka/fre.php
  • hxxp://23.254.225[.]235/wj/fre.php
  • hxxp://arinzeproducts[.]xyz/five/fre.php
  • hxxp://bobreplace[.]xyz/five/fre.php
  • hxxp://navijunks[.]ml/chores/fre.php
  • hxxp://peakledz[.]xyz//five/fre.php
  • hxxp://secure01-redirect[.]net/ga17/fre.php
  • hxxp://secure01-redirect[.]net/ga24/fre.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments