ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年1月3日(月)から2022年1月9日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが54.2%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが30.1%、ダウンローダーが12.0%、ランサムウェアが2.4%、Backdoor が1.2%と集計された。
Top 1 – AgentTesla
今週も AgentTesla は28.9%で1位になっている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。
- server mail.sementescaicara.com[.]br (174.142.126[.]13)
sender sementes@sementescaicara.com[.]br
receiver sementes@sementescaicara.com[.]br
user sementes@sementescaicara.com[.]br
pw sem*****4062 - server mail.packsealsind[.]com (162.241.148[.]56)
sender sales.mumbai@packsealsind[.]com
receiver sales.mumbai@packsealsind[.]com
user sales.mumbai@packsealsind[.]com
pw %Y****op - server mail.neneka[.]org (108.167.180[.]132)
sender choi@neneka[.]org
receiver mary@neneka[.]org
user choi@neneka[.]org
pw Nene****16
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- FedEx 773538627141.pdf.exe
- PO30182.EXE
- documentos Fedex00345.pdf.exe
- TT USD21,499.77.exe
- NEW ORDER CF2022-24400.exe
- Oredr requirement for_LK consulting limited.PDF.exe
Top 2 – RedLine
RedLine マルウェアは18.1%で2位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- 185.231.70[.]207:24867
- 185.215.113[.]83:60722
- 45.9.20[.]144:23321
- 5.206.227[.]238:81
- 95.143.177[.]66:9006
- 91.243.32[.]101:1568
Top 3 – BeamWinHTTP
12.0%で3位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
https://asec.ahnlab.com/jp/20924/
最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。
https://asec.ahnlab.com/jp/26235/
以下は、確認された C&C サーバーアドレスである。
- ad-postback[.]biz
- web-stat[.]biz
Top 4 – Lokibot
Lokibot マルウェアは7.2%を占めており、4位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
https://asec.ahnlab.com/jp/16835/
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- wininit.exe
- FEDEX_DO.EXE
- bestzx.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://secure01-redirect.net/gc8/fre.php
- hxxp://167.99.241.151/ndex.php
- hxxp://nesofirenit.gq/stats/fre.php
Top 5 – Formbook
Formbook はインフォスティーラー型マルウェアとして6.0%を占めており、5位に名が上がった。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- content.8319.31219.21035
- INCENTIVE.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- http://www.strikco[.]link/s11o/
- http://www.haztol[.]xyz/n62s/
- http://www.celimot[.]xyz/g2fg/
- http://www.haztol[.]xyz/n62s/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計