ASEC マルウェア週間統計 ( 20211206~20211212 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年12月6日(月)から12月12日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが33.3%と1位を占めており、その次にコインマイナーが25.3%、ダウンローダーが22.8%、RAT(Remote Administration Tool)マルウェアが16.2%、バンキング型マルウェアが1.8%、ランサムウェアが0.6%と集計された。


Top 1 –  Glupteba

25.33%で1位を記録した Glupteba は、Golang で開発されたマルウェアである。多数の追加モジュールをダウンロードし、複数の機能を持っているが、実質的には XMR (モネロ) CoinMiner をインストールする、CoinMiner マルウェアである。

Glupteba は、実行すると UAC Bypass を経て TrustedInstaller の権限を利用してシステム権限を取得する。そして、C:Windows\rsscsrss.exe の名前で正常なプロセスに偽装し、システムに常駐する。その後、追加モジュールをダウンロードするが、その対象にはプロセスおよびファイルを非表示にするためのルートキットドライバがあり、最終的にインストールされるものとしては、XMR CoinMiner および SMB の脆弱性を利用した伝播のための Eternal Blue パッケージがある。

現在確認されている Glupteba の大半は、PUP を通してダウンロードされる方式で拡がっている。PUP を通して拡散しているにもかかわらず、過去のブログで述べた MalPe パッカーのアウトラインを持つという点が特徴である。

https://asec.ahnlab.com/1276

MalPe パック方式のアウトラインを持つマルウェアは、ほとんどが Exploit Kit によって配布されるが、過去の Vidar インフォスティーラーの事例のように PUP を通してダウンロードされたり、正常なプログラムに偽装して拡散したりするマルウェアからも同様に MalPe パック方式のアウトラインが確認されている。

https://asec.ahnlab.com/1330

確認されている C&C サーバーのアドレスは、以下の通りである。

[C&C サーバーアドレス]

  • ninhaine[.]com
  • 2makestorage[.]com
  • iceanedyp[.]com
  • sndvoices[.]com


Top 2 –  BeamWinHTTP

21.6%で2位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。

https://asec.ahnlab.com/jp/26235/

以下は、確認された C&C サーバーアドレスである。

  • hxxp://highart[.]top
  • hxxp://ad-postback[.]biz


Top 3 –  RedLine

RedLine マルウェアは12.2%で3位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることがある。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

https://asec.ahnlab.com/ko/18037/

以下は、確認された RedLine の C&C サーバードメインである。

  • 185.215.113[.]83:60722
  • 168.119.104[.]184:22192
  • 138.124.180[.]58:35497
  • 65.108.20[.]184:13650
  • 85.209.89[.]134:38190
  • 92.255.85[.]131:44159
  • 5.206.227[.]246:80
  • kitchenandfardenusa[.]com:80


Top 4 – Formbook

Formbook はインフォスティーラー型マルウェアとして11.6%を占めており、4位に名が上がった。

https://asec.ahnlab.com/ko/20812/

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • Tax payment invoice – Wednesday, December 8, 2021,pdf.exe
  • Payment2021456789098.pdf.exe
  • Products List & purchase document.exe
  • wanted list.exe
  • SWIFT00011100110011.PDF.exe
  • PURCHASE_ORDER MT101 & PRODUCT LIST.exe
  • Payment.exe
  • Receipt.exe
  • PO 211206-01A.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

https://asec.ahnlab.com/ko/20373/

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.asiapubz-hk[.]com/ea0r/
  • hxxp://www.allnestek[.]com/f2t3/
  • hxxp://www.nshocam[.]com/fa83/
  • hxxp://www.peacepresidentunited[.]com/l3ld/
  • hxxp://www.illusiontrick[.]com/gr1c/
  • hxxp://www.caspermeta[.]com/l33n/


Top 5 –  AgentTesla

AgentTesla は9.8%で5位になっている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。

  • FTP Server : ftp://ftp.gene[.]ba
    user : dod@gene[.]ba
    password : bo******56
  • SMTP Server : mail.faiyazgroup[.]com
    sender : jahangir@faiyazgroup[.]com

    receiver : jahangir@faiyazgroup[.]com
    password : ja******456
  • SMTP Server : mail.scsgroups[.]com
    sender : sales@scsgroups[.]com

    receiver : sales@scsgroups[.]com
    password : Sc******123
  • SMTP Server : smtp.yandex[.]com
    sender : vladmir@amova[.]ga
    receiver : vladmir@amova[.]ga
    password : ma******360
  • SMTP Server : us2.smtp.mailhostbox[.]com
    sender : cspuri@searchnet.co[.]in

    receiver : cspuri@searchnet.co[.]in
    password : 22******69

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • Urgent Bank Details Confirmation,pdf.exe
  • SO-SHIPMENT-SCHEDULE10-12-21.exe
  • TT Swift copy (2).exe
  • new_purchase_order_PDF.exe
  • USD_&_EUR_BANK_DETAILS.exe
  • Shipping_Documents.exe
  • PO_4503306077.exe
  • PURCHASE_ORDER.exe
  • request for quotation.exe

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments