ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年11月29日(月)から12月5日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではダウンローダーが31.4%と1位を占めており、その次にコインマイナーが25.6%、インフォスティーラーが22.3%、RAT(Remote Administration Tool)マルウェアが20.1%、ランサムウェアが0.4%、バンキング型マルウェアが0.1%と集計された。
Top 1 – BeamWinHTTP
30.9%で先週に引き続き1位を占めた BeamWinHTTP は、ダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
https://asec.ahnlab.com/jp/20924/
最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。
https://asec.ahnlab.com/jp/26235/
以下は、確認された C&C サーバーアドレスである。
- hxxp://forwardstorage[.]biz
- hxxp://postbackstat[.]biz/
Top 2 – Glupteba
25.6%で2位を記録した Glupteba は、Golang で開発されたマルウェアである。多数の追加モジュールをダウンロードし、複数の機能を持っているが、実質的には XMR (モネロ) CoinMiner をインストールする、CoinMiner マルウェアである。
Glupteba は、実行すると UAC Bypass を経て TrustedInstaller の権限を利用してシステム権限を取得する。そして、C:Windowsrsscsrss.exe の名前で正常なプロセスに偽装し、システムに常駐する。その後、追加モジュールをダウンロードするが、その対象にはプロセスおよびファイルを非表示にするためのルートキットドライバがあり、最終的にインストールされるものとしては、XMR CoinMiner および SMB の脆弱性を利用した伝播のための Eternal Blue パッケージがある。
現在確認されている Glupteba の大半は、PUP を通してダウンロードされる方式で拡がっている。PUP を通して拡散しているにもかかわらず、過去のブログで述べた MalPe パッカーのアウトラインを持つという点が特徴である。
MalPe パック方式のアウトラインを持つマルウェアは、ほとんどが Exploit Kit によって配布されるが、過去の Vidar インフォスティーラーの事例のように PUP を通してダウンロードされたり、正常なプログラムに偽装して拡散したりするマルウェアからも同様に MalPe パック方式のアウトラインが確認されている。
確認されている C&C サーバーのアドレスは、以下の通りである。
[C&C サーバーアドレス]
- hxxps://trumops[.]com
- hxxps://retoti[.]com
Top 3 – RedLine
RedLine マルウェアは19.1%で3位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることがある。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
https://asec.ahnlab.com/ko/18037/
以下は、確認された RedLine の C&C サーバードメインである。
- 194.58.69[.]100:37026
- zumbemclat[.]xyz:81
- 103.246.144[.]29:44301
Top 4 – Formbook
Formbook はインフォスティーラー型マルウェアとして7.3%を占めており、4位に名が上がった。
https://asec.ahnlab.com/ko/20812/
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- Document.exe
- Salary rcpt.exe
- scan_0010.pif
- Order Inquiry1.exe
- FedEx TRACKING DETAILS.exe
- NITAS POV211201 – 12.1.2021pdf.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
https://asec.ahnlab.com/ko/20373/
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.mainmanmemories[.]com/n6de/
- hxxp://www.pediatrikdermatoloji[.]net/imnt/
- hxxp://www.busy-clicks[.]com/e8ia/
- hxxp://www.bfcmtld[.]com/acp0/
- hxxp://www.biggirlrantz[.]com/rht9/
- hxxp://www.andajzx[.]com/qmdh/
Top 5 – AgentTesla
AgentTesla は5.5%で5位になっている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。
- mail.medicare-equipment[.]com (192.185.84[.]191)
sender : medicare@medicare-equipment.com
receiver : webmail.sp@yandex.com
user : medicare@medicare-equipment.com
pw : AllTheBest777 - mail.privateemail[.]com (198.54.122[.]60)
sender : logsf@civcxs.xyz
receiver : logsf@civcxs.xyz
user : logsf@civcxs.xyz
pw : dcodjdh@china3 - mail.modularelect[.]com (103.248.80[.]5)
sender : zspamming@modularelect.com
receiver : zspamming@modularelect.com
user : zspamming@modularelect.com
pw : successman12@
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は pdf、xlsx のようなドキュメントファイルや .dwg、すなわち Auto CAD 図面ファイルに偽装したものも多数存在する。
- Order,png.exe
- Purchase Order Pending Quantity.exe
- Заказ на поставку -AR95647,pdf.exe
- PESANAN TERAKHIR 2021.docx.exe
- HTKkCVQfcYlEom0.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計