ASEC マルウェア週間統計 ( 20211108~20211114 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年11月8日(月)から11月14日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが41.8%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが24.7%、ダウンローダーが23.0%、バックドア型マルウェアが4.7%、CoinMiner が3.3%、Ransomware が2.3%、Banking が0.2%と集計された。


Top 1 –  BeamWinHTTP

22.2%で先週に引き続き1位を占めた BeamWinHTTP は、ダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。

https://asec.ahnlab.com/jp/26235/

以下は、確認された C&C サーバーアドレスである。

  • gcl-gb[.]biz
  • g-localdevice[.]biz


Top 2 –  RedLine

RedLine マルウェアは18.5%で2位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることがある。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

https://asec.ahnlab.com/ko/18037/

以下は、確認された RedLine の C&C サーバードメインである。

  • 135.181.129[.]119:4805/
  • 91.121.67[.]60:51630/
  • 23.88.109[.]42:55961/
  • 185.215.113[.]205:65531/
  • 185.183.32[.]184:80/
  • 164.132.202[.]23:35481/
  • 95.181.152[.]14:46927/
  • 185.215.113[.]109:44059/
  • dorasandeau[.]xyz:80/
  • teylerityah[.]xyz:80/
  • leanaengama[.]xyz:80/


Top 3 –  AgentTesla

AgentTesla は15.8%で3位になっている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。

  • mail.metalbo[.]es
    sender : metalbo@metalbo[.]es
    receiver : origin@origina[.]sbs
    user : origin@origina[.]sbs
    pw : GTGAme****66++
  • mail.kpnmail[.]nl
    sender : tabakspeciaalzaak.everse@kpnmail[.]nl
    receiver : mamaputmamaput175@gmail[.]com
    user : mamaputmamaput175@gmail[.]com
    pw : Gij****n1
  • mail.modularelect[.]com
    sender : zspamming@modularelect[.]com
    receiver : zspamming@modularelect[.]com
    user : zspamming@modularelect[.]com
    pw : Password****

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

  • (GPQ 21_0104A) R100-XH50.exe
  • __P_O.EXE 13404120211111scan,_pdf.exe
  • 19002-AR-APT-909-00 MDC.exe
  • Advice_Payment_Copy.exe
  • Bank Details.exe
  • details__of_payment.exe
  • Doc2035678923456789320.pdf…exe
  • DynamicPartitionerForIEnumerab.exe
  • E-Invoice_No_11073490.exe
  • EQI-NEWTUO160.exe
  • FTG00123.exe
  • Haemotronic Nov PO_76565 Urgentepdf.exe
  • Halkbank,pdf.exe
  • Invoice_and_packing_list.exe
  • Invoice_No__ANT19-20646.exe
  • Order_Confirmation.exe
  • Payment_Advice.exe
  • Payment_transfer.exe
  • PO#11092021.exe
  • POHG18100405.exe
  • product_Quotation_0921218383.exe
  • Request_For_Quotation.exe
  • Revised TRVTT214359 SWIFT MT103.exe
  • RFQ_#CNXT-HG20211109_PDF.exe
  • RFQ__CNX.EXE
  • SAMPLE.SPECIFICATION.ORDER.PDF.Gz.exe
  • SCB_MT103_31526R2111120067_211112.exe
  • shipping_documents.exe
  • vergi ödeme faturası 8 Kasım 2021 Pazartesipdf.exe


Top 4 – Formbook

Formbook はインフォスティーラー型マルウェアとして10.3%を占めており、4位に名が上がった。

https://asec.ahnlab.com/ko/20812/

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • 税金納付インボイス – 2021年11月11日木曜日,pdf.exe
  • AWN#INVOICE2021119.PDF.exe
  • Company_Doc_b247597.exe
  • DHL AWB TRACKING DETAILS.exe
  • DHL#invoice.PDF.exe
  • DHL#SHIPMENTR129724.PDF.exe
  • DHL2021110900001.PDF.exe
  • Factura_842.pdf.exe
  • GV033331#TKN104183110140.pdf.exe
  • INQUIRY_SUBMITTAL_ADM_SWITZERLAND.exe
  • Items_for_new_project-6109.exe
  • KJ_09112021__MT-SGWI.exe
  • New_OrderTCSQ_22102021__Lifetime.exe
  • Payment_Order.exe
  • PO__SWIFT_REFRIGO_-_Payment.exe
  • PO_0096617291.exe
  • PO_211102.exe
  • PRODUCT_LIST.exe
  • Purchase#Order#39449.pdf.exe
  • Purchase_Order-10,000MT.exe
  • RFQ_38383090.exe
  • SKC360i21092307520.exe
  • Tender_and_Appendix.exe
  • TNT#9066721066.PDF.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

https://asec.ahnlab.com/ko/20373/

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.awsul[.]online/fh3c/
  • hxxp://www.baipees[.]com/teni/
  • hxxp://www.bake8teen[.]com/rht9/
  • hxxp://www.bella-pi[.]com/nurc/
  • hxxp://www.bitrice23[.]com/bcwg/
  • hxxp://www.bits-clicks[.]com/a49i/
  • hxxp://www.busy-clicks[.]com/e8ia/
  • hxxp://www.ckoutim[.]xyz/b8lb/
  • hxxp://www.confled[.]online/cy88/
  • hxxp://www.dress-ads[.]com/z4m5/
  • hxxp://www.easybeasts[.]com/i44q/
  • hxxp://www.gulebic[.]com/e3rs/
  • hxxp://www.high-clicks2[.]com/n652/
  • hxxp://www.jam-nins[.]com/n7ak/
  • hxxp://www.japxo[.]online/dn7r/
  • hxxp://www.lutam[.]xyz/b3n1/
  • hxxp://www.makrep[.]online/s3r1/
  • hxxp://www.mcabyv[.]xyz/hd6y/
  • hxxp://www.minismi2[.]com/u0n0/
  • hxxp://www.posetac[.]online/dv9n/
  • hxxp://www.proach[.]online/a34b/
  • hxxp://www.ranbix[.]com/w240/
  • hxxp://www.rebles45[.]com/w8n5/
  • hxxp://www.renaziv[.]online/ss5s/
  • hxxp://www.saint444[.]com/fqiq/
  • hxxp://www.sarjin[.]xyz/ob7y/
  • hxxp://www.seo-clicks7[.]com/r4gk/
  • hxxp://www.smaclo[.]online/a1f7/
  • hxxp://www.stamore[.]online/bl8s/
  • hxxp://www.tamsef[.]online/mlk1/
  • hxxp://www.welmovs[.]xyz/gr1c/
  • hxxp://www.yaruky[.]xyz/wk31/


Top 5 –  Lokibot

Lokibot マルウェアは5.3%を占めており、5位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

  • 送金情報一部決済pdf________________________________.exe
  • 2021_11月発注書様式.exe
  • 2021_11月発注書様式\2021_11NTTF.exe
  • 2021_11月発注書様式\2021_11NTTF.exe
  • 2021_11月発注書様式\2021_11STV.exe
  • (G0170-PF3F-21-1110).exe
  • AS211108SW.exe
  • AS211110SW.exe
  • Payment copy.exe
  • Pedido de Compra PO06708.XLXs___________________________________.bat
  • PO 21081111B.exe
  • PURCHASE_ORDER.exe
  • Se*oong Ref No. MQ-3018 & MQ-3019.exe
  • SWIFT_COPY.exe

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

Tagged as:

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments