ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2021年12月27日(月)から2022年1月2日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが42.7%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが35.4%、ダウンローダーが14.6%、ランサムウェアが4.9%、Ddos が2.4%と集計された。
Top 1 – AgentTesla
AgentTesla は20.7%で1位になっている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。
- server : mail.almanatechnology[.]com (162.222.226[.]194)
sender : naseer@almanatechnology[.]com
receiver : naseer@almanatechnology[.]com
user : naseer@almanatechnology[.]com
pw : ne********wel - server : webmail.crestftb[.]com (199.188.201[.]139)
sender : Ikmero@crestftb[.]com
receiver : Ikmero@crestftb[.]com
user : Ikmero@crestftb[.]com
pw : OLU*********456 - server : mail.croatiahunt[.]com (116.202.174[.]203)
sender : info@croatiahunt[.]com
receiver : t.aidinis@empire-eyewear[.]com
user : info@croatiahunt[.]com
pw : Vil*******852
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- OFERTA ALSSET 12.31.21.exe
- OFERTA ALSSET 12.29.21.exe
- RE Documents Attached for New Sea ShipmentNastah FCL20-21MIL238.exe
- REVISED_EPDA _ Statment & Tuticorin MV GRACE.exe
- D00501_DIB_Bur_Dubai_New_Branch.exe
- SHIPPING_ADVICE_4084301002.exe
- dhl delivery documents.exe
Top 1 – RedLine
RedLine マルウェアは20.7%で同じく1位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることがある。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- 45.147.196[.]146:6213
- 109.236.88[.]5:81
- 193.150.103[.]37:81
- 45.153.184[.]61:34783
- 185.148.39[.]13:81
- 94.140.115[.]160:81
Top 3 – BeamWinHTTP
14.6%で3位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
https://asec.ahnlab.com/jp/20924/
最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。
https://asec.ahnlab.com/jp/26235/
以下は、確認された C&C サーバーアドレスである。
- hxxp://ad-postback[.]biz
Top 4 – Smoke Loader
Smoker Loader は、インフォスティーラー/ダウンローダーマルウェアとして、11.0%の割合で今週の4位を占めている。Smoke Loaderに関連した分析レポートは、以下の ASEC レポートを参考にしてほしい。
[PDF] ASEC REPORT vol.101_한층 업그레이드된 최신판 스모크로더(Smoke Loader), 전격해부
(翻訳:[PDF] ASEC REPORT vol.101 より一層アップグレードした最新版 Smoke Loader、電撃解剖) *韓国語/英語版のみ提供
以下は、確認された C&C サーバーアドレスである。
- host-data-coin-11[.]com/
- file-coin-host-12[.]com/
- melchen-testet[.]at/upload/
- zjymf[.]com/upload/
- pbxbmu70275[.]cn/upload/
- mnenenravitsya[.]ru/upload/
- pitersprav[.]ru/upload/
Top 5 – Remcos
今週は Remcos が7.3%で5位を占めている。Remcos は RAT マルウェアとして、キーロガーを含む情報流出および様々な攻撃者の命令を実行できる。
https://asec.ahnlab.com/jp/17889/
Remcos は AgentTesla、Formbook、NanoCore 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。すなわち、収集されるファイル名も以下のようにスパムメールを通して配布されるマルウェアと類似している。
- fuscontainer.exe
以下は、確認された Remcos の C&C サーバーアドレスである。
- hxxp://91.243.44[.]75/prophecy.jpg
- hxxp://91.243.44[.]45/guron.jpg
- hxxp://91.243.44[.]45/uber.jpg
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計