ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年12月20日(月)から12月26日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが51.9%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが36.3%、ダウンローダーが8.1%、コインマイナーが2.2%、ランサムウェアが1.5%と集計された。
Top 1 – RedLine
RedLine マルウェアは21.5%で1位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることがある。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- 91.243.32[.]73:7171
- 62.182.156[.]182:21588
- 92.255.85[.]131:44159
- 5.206.227[.]246:8
- 185.215.113[.]50:7521
- 185.215.113[.]57:50723
Top 2 – AgentTesla
AgentTesla は18.5%で2位になっている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。
- SMTP Server : mail.demo.jeninfo[.]com
Sender : finance@demo.jeninfo[.]com
Receiver : finance@demo.jeninfo[.]com
Password : %e&qa***oNkx - SMTP Server : us2.smtp.mailhostbox[.]com
Sender : Yasser.alsheakh@aaecebemo[.]nl
Receiver : Yasser.alsheakh@aaecebemo[.]nl
Password : JVo***c5 - SMTP Server : mail.antufukelektrik[.]com
Sender : info@antufukelektrik[.]com
Receiver : llogin20@yandex[.]com
Password : Ant202***!07.
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- Order- 922 – LongWay.exe
- P.O.exe
- NEW_PURCHASE_ORDER.exe
- order nr. 2100815 pdf.exe
- New Purchase Order.exe
- soa nov 2021.exe
Top 3 – Formbook
インフォスティーラー型マルウェアである Formbook は16.3%を占めており、3位に名が上がった。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- 견적요청_**테크_20211221.exe (翻訳:見積依頼_**テック_20211221.exe)
- 우리의 새로운 주문 ae1179 확인,pdf.bat (翻訳:当方からの新規注文 ae1179 確認,pdf.bat)
- receipt.exe
- Payment copy.bin
- PO 2112200LOS.exe
- RFQ_498341_804-0.exe
- Scan_5638782.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.erisibu85[.]com/ic0e/
- hxxp://www.alpeshpate[.]com/ioup/
- hxxp://www.lixodruj[.]xyz/m1x9/
- hxxp://www.intaom[.]net/ioup/
- hxxp://www.lasohm[.]xyz/c255/
- hxxp://www.daxvly[.]xyz/st28/
- hxxp://www.becbares[.]com/agq9
Top 4 – BeamWinHTTP
8.1%で4位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
https://asec.ahnlab.com/jp/20924/
最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。
https://asec.ahnlab.com/jp/26235/
以下は、確認された C&C サーバーアドレスである。
- hxxp://ad-postback[.]biz
Top 5 – Lokibot
Lokibot マルウェアは5.9%を占めており、5位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
https://asec.ahnlab.com/jp/16835/
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- Datos_bancarios.xlsx.exe
- Shipping Documents.exe
- RFQ New Order No. BCM190282_xlsx.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- http://ad4teg[.]com/cxs/five/fre.php
- http://gobonamud[.]gq/temple/fre.php
- http://kovachevpress[.]com/include/five/fre.php
- http://nesofirenit[.]gq/stats/fre.php
- http://secure01-redirect[.]net/gb20/fre.php
- http://secure01-redirect[.]net/gb23/fre.php
- http://secure01-redirect[.]net/gb28/fre.php
- http://secure01-redirect[.]net/gb29/fre.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計