ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年1月10日(月)から2022年1月16日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが55.1%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが38.2%、ダウンローダーが3.9%、ランサムウェアと Backdoor が1.4%と集計された。
Top 1 – AgentTesla
今週も AgentTesla が28.0%で1位になっている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。
- server : mail.agenciaaros.com[.]py (51.79.119[.]220)
sender : droid@agenciaaros.com[.]py
receiver : cutechickdick@gmail[.]com
user : droid@agenciaaros.com[.]py
pw : icu*****@ - server : mail.meyaargroup[.]com (148.251.123[.]147)
sender : info@meyaargroup[.]com
receiver : contacto@filtrosdys[.]com
user : info@meyaargroup[.]com
pw : Me*****3$ - server : us2.smtp.mailhostbox[.]com (208.91.199[.]223)
sender : info@pacificallbd[.]com
receiver : info@pacificallbd[.]com
user : info@pacificallbd[.]com
pw : chid*****e2419
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- Purchase_Order.exe
- ASEAN_SHIPPING_ADVICE#202201.exe
- PO_5882022.exe
- 06-22-INV_SHIPPING_DOCS.exe
- SWIFT_COPY.exe
- PURCHASE_ORDER_21-01570.exe
- P.O.exe
- scanned_copy.bit.exe
- payment_advise.exe
- PAYMENT.exe
- DHL Delivery Invoice AWB 2774038374.exe
- Awb_shipping_BL_doc_4860000000000000822.exe
- cables po 2022.exe
Top 2 – RedLine
RedLine マルウェアは18.9%で2位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- 45.156.25[.]78:9006
- 62.182.156[.]179:46840
- 45.142.215[.]180:56456
- 185.64.76[.]74:16382
- 185.112.83[.]99:8888
- 65.21.94[.]84:6755
Top 3 – Formbook
インフォスティーラー型マルウェアである Formbook は11.6%を占めており、3位に名が上がった。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- PO 4500064218 – 1,701kg DHN.exe
- PO#0065022.pdf.exe
- Statement_of_Account_10012022.Pdf.exe
- shippment document.exe
- New Purchase Order #4522028497.exe
- Online banking.exe
- 0rder_pdf.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.rampi6[.]com/b80i/
- hxxp://www.asinment[.]com/pnug/
- hxxp://www.wedbus[.]online/g0i2/
Top 4 – Lokibot
Lokibot マルウェアは6.3%を占めており、4位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
https://asec.ahnlab.com/jp/16835/
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- Purchase Order_pdf.exe
- PO#5363349474.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://mainlandtoisland[.]ml/BN2/fre.php
- hxxp://augmentinprod[.]ir/jin/five/fre.php
- hxxp://tarbelos[.]com/Loki/Panel/five/fre.php
Top 5 – NanoCore
NanoCore は4位を占めている Lokibot と同じく6.3%と確認された。NanoCore は .NET で開発された RAT マルウェアとして、njRAT と同じようにキーロガーを含む情報流出および様々な攻撃者の命令を実行できる。
NanoCore は AgentTesla、Formbook、AveMaria、Remcos 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。すなわち、収集されるファイル名も以下のようにスパムメールを通して配布されるマルウェアと類似している。
- DHL8395278940.exe
- SalesMate.exe
以下は、確認された NanoCore の C&C サーバードメインである。
- ayoway.ddns[.]net
- girlhomejan6100.duckdns[.]org
- strongodss.ddns[.]net
- 55098hustlenow.hopto[.]org
- windapts.ddns[.]net
- justinalwhitedd554.duckdns[.]org
- mback5338.duckdns[.]org
- nanoboss.duckdns[.]org
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計