ASEC マルウェア週間統計 ( 20211115~20211121 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年11月15日(月)から11月21日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではダウンローダーが31.0%と1位を占めており、その次にインフォスティーラーが29.1%、RAT(Remote Administration Tool)マルウェアが19.0%、CoinMiner が15.7%、Banking が2.5%、バックドア型マルウェアが2.2%、Ransomware が0.5%、の順に集計された。


Top 1 –  BeamWinHTTP

28.4%で先週に引き続き1位を占めた BeamWinHTTP は、ダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。

https://asec.ahnlab.com/jp/26235/

以下は、確認された C&C サーバーアドレスである。

  • g-localdevice[.]biz
  • postbackstat[.]biz


Top 2 –  RedLine

RedLine マルウェアは16.6%で2位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることがある。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

https://asec.ahnlab.com/ko/18037/

以下は、確認された RedLine の C&C サーバードメインである。

  • 46.21.250[.]40:31113
  • 194.156.89[.]132:22920
  • 95.181.152[.]12:44159
  • 116.202.110[.]68:48426
  • 135.181.123[.]52:25168
  • 51.68.142[.]233:31156
  • 185.215.113[.]205:65531
  • 89.105.217[.]244:57262
  • 194.156.89[.]132:22920
  • tatreriash[.]xyz


Top 3 –  Glupteba

15.7%を占めている Glupteba は、Golang で開発されたマルウェアである。多数の追加モジュールをダウンロードし、複数の機能を持っているが、実質的には XMR (モネロ) CoinMiner をインストールする、CoinMiner マルウェアである。

Glupteba は、実行すると UAC Bypass を経て TrustedInstaller の権限を利用してシステム権限を取得する。そして、C:Windows\rss\csrss.exe の名前で正常なプロセスに偽装し、システムに常駐する。その後、追加モジュールをダウンロードするが、その対象にはプロセスおよびファイルを非表示にするためのルートキットドライバがあり、最終的にインストールされるものとしては、XMR CoinMiner および SMB の脆弱性を利用した伝播のための Eternal Blue パッケージがある。

現在確認されている Glupteba の大半は、PUP を通してダウンロードされる方式で拡がっている。PUP を通して拡散しているにもかかわらず、過去のブログで述べた MalPe パッカーのアウトラインを持つという点が特徴である。

https://asec.ahnlab.com/1276

MalPe パック方式のアウトラインを持つマルウェアは、ほとんどが Exploit Kit によって配布されるが、過去の Vidar インフォスティーラーの事例のように PUP を通してダウンロードされたり、正常なプログラムに偽装して拡したりするマルウェアからも同様に MalPe パック方式のアウトラインが確認されている。

https://asec.ahnlab.com/1330

確認されている C&C サーバーのアドレスは、以下の通りである。

[C&C サーバーアドレス]

  • hxxps://trumops[.]com
  • hxxps://retoti[.]com


Top 4 –  AgentTesla

AgentTesla は8.2%で4位になっている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。

  • smtp.espaalfoods[.]com (208.91.198[.]143)
    sender : contabilidad@espaalfoods[.]com
    receiver : contabilidad@espaalfoods[.]com
    user : contabilidad@espaalfoods[.]com
    pw : zz8******Pw+
  • mail.faks-allied-health[.]com (107.180.56[.]180)
    sender : info@faks-allied-health[.]com
    receiver : wealthmyson@yandex[.]com
    user : info@faks-allied-health[.]com
    pw : $Fa****34
  • smtp.bisnex[.]online (198.54.115[.]50)
    sender : robert.mark@bisnex[.]online
    receiver : robert.mark@bisnex[.]online
    user : robert.mark@bisnex[.]online
    pw : onye******atwork.

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。

  • Scanned Copy of Documents.exe
  • invoice US 74100.50.pdf.exe
  • Nueva orden de compra.exe
  • Tr Standart 2021-11-18T05-22-03.exe
  • PO_SBK41.EXE
  • AZLYS00006251062285.xlsx.scr
  • ORDER.exe
  • Pago transferencia-003811532.pdf.exe
  • MODEL H22447.jpg.exe
  • SHIPPMENT.exe
  • Signed PEARLTECH contract and PO.exe
  • .winlogon.exe
  • PCIPL Introduction Profile.exe
  • IMG-2021-15-11-OWA001.exe
  • EnumerateQueuedWorkItemsd.exe
  • Docfile.exe
  • Bank transfer Advice NP Invoices 2021_280 2021 11 15.exe
  • Order-N0.090087666.exe
  • Documentation.exe


Top 5 – Formbook

Formbook はインフォスティーラー型マルウェアとして7.3%を占めており、5位に名が上がった。

https://asec.ahnlab.com/ko/20812/

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • VBC.exe
  • Prodt QR.exe
  • Shipment Invoice Consignment Notification.exe
  • bankinfo.exe
  • Estimates (Korea Zinc Co., Ltd. Onsan Refinery) 275-016.exe
  • Factura_842.PDF.exe
  • ALUMINUM FIXED MANUAL RAMP.exe
  • Quotation of door repair table {basic drawing}.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

https://asec.ahnlab.com/ko/20373/

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.bitrice23[.]com/ns87/
  • hxxp://www.buge-link[.]com/ku75/
  • hxxp://www.hcato[.]xyz/gnui/
  • hxxp://www.abros88[.]com/46uq/
  • hxxp://www.lopsrental[.]lease/e6wb/
  • hxxp://www.abros88[.]com/46uq/
  • hxxp://www.bra866[.]com/g83s/
  • hxxp://www.bitrice23[.]com/ns87/
  • hxxp://www.bra866[.]com/b4t9/

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments