Posted By Hansoyoung , 2021年 November 18日

ASEC マルウェア週間統計 ( 20211108～20211114 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年11月8日(月)から11月14日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが41.8%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが24.7%、ダウンローダーが23.0%、バックドア型マルウェアが4.7%、CoinMiner が3.3%、Ransomware が2.3%、Banking が0.2%と集計された。

Top 1 – BeamWinHTTP

22.2%で先週に引き続き1位を占めた BeamWinHTTP は、ダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。

https://asec.ahnlab.com/jp/26235/

以下は、確認された C&C サーバーアドレスである。

gcl-gb[.]biz
g-localdevice[.]biz

Top 2 – RedLine

RedLine マルウェアは18.5%で2位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることがある。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

https://asec.ahnlab.com/ko/18037/

以下は、確認された RedLine の C&C サーバードメインである。

135.181.129[.]119:4805/
91.121.67[.]60:51630/
23.88.109[.]42:55961/
185.215.113[.]205:65531/
185.183.32[.]184:80/
164.132.202[.]23:35481/
95.181.152[.]14:46927/
185.215.113[.]109:44059/
dorasandeau[.]xyz:80/
teylerityah[.]xyz:80/
leanaengama[.]xyz:80/

Top 3 – AgentTesla

AgentTesla は15.8%で3位になっている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。

mail.metalbo[.]es
sender : metalbo@metalbo[.]es
receiver : origin@origina[.]sbs
user : origin@origina[.]sbs
pw : GTGAme****66++
mail.kpnmail[.]nl
sender : tabakspeciaalzaak.everse@kpnmail[.]nl
receiver : mamaputmamaput175@gmail[.]com
user : mamaputmamaput175@gmail[.]com
pw : Gij****n1
mail.modularelect[.]com
sender : zspamming@modularelect[.]com
receiver : zspamming@modularelect[.]com
user : zspamming@modularelect[.]com
pw : Password****

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

(GPQ 21_0104A) R100-XH50.exe
__P_O.EXE 13404120211111scan,_pdf.exe
19002-AR-APT-909-00 MDC.exe
Advice_Payment_Copy.exe
Bank Details.exe
details__of_payment.exe
Doc2035678923456789320.pdf…exe
DynamicPartitionerForIEnumerab.exe
E-Invoice_No_11073490.exe
EQI-NEWTUO160.exe
FTG00123.exe
Haemotronic Nov PO_76565 Urgentepdf.exe
Halkbank,pdf.exe
Invoice_and_packing_list.exe
Invoice_No__ANT19-20646.exe
Order_Confirmation.exe
Payment_Advice.exe
Payment_transfer.exe
PO#11092021.exe
POHG18100405.exe
product_Quotation_0921218383.exe
Request_For_Quotation.exe
Revised TRVTT214359 SWIFT MT103.exe
RFQ_#CNXT-HG20211109_PDF.exe
RFQ__CNX.EXE
SAMPLE.SPECIFICATION.ORDER.PDF.Gz.exe
SCB_MT103_31526R2111120067_211112.exe
shipping_documents.exe
vergi ödeme faturası 8 Kasım 2021 Pazartesipdf.exe

Top 4 – Formbook

Formbook はインフォスティーラー型マルウェアとして10.3%を占めており、4位に名が上がった。

https://asec.ahnlab.com/ko/20812/

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

税金納付インボイス – 2021年11月11日木曜日,pdf.exe
AWN#INVOICE2021119.PDF.exe
Company_Doc_b247597.exe
DHL AWB TRACKING DETAILS.exe
DHL#invoice.PDF.exe
DHL#SHIPMENTR129724.PDF.exe
DHL2021110900001.PDF.exe
Factura_842.pdf.exe
GV033331#TKN104183110140.pdf.exe
INQUIRY_SUBMITTAL_ADM_SWITZERLAND.exe
Items_for_new_project-6109.exe
KJ_09112021__MT-SGWI.exe
New_OrderTCSQ_22102021__Lifetime.exe
Payment_Order.exe
PO__SWIFT_REFRIGO_-_Payment.exe
PO_0096617291.exe
PO_211102.exe
PRODUCT_LIST.exe
Purchase#Order#39449.pdf.exe
Purchase_Order-10,000MT.exe
RFQ_38383090.exe
SKC360i21092307520.exe
Tender_and_Appendix.exe
TNT#9066721066.PDF.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

https://asec.ahnlab.com/ko/20373/

以下は、確認された Formbook の C&C サーバーアドレスである。