ASEC マルウェア週間統計 ( 20220131~20220206 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年1月31日(月)から2月6日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが61.6%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが18.9%、バンキング型マルウェアが11.3%、ランサムウェアが4.4%、ダウンローダーが3.8%と集計された。


Top 1 –  AgentTesla

今週も AgentTesla が40.3%で1位になっている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。

  • server : mail.topfrozenfoodbrand[.]com
    sender : webmaster@topfrozenfoodbrand[.]com
    receiver : originnn222@gmail[.]com
    user : webmaster@topfrozenfoodbrand[.]com
    pw : Chukwud****@
  • server : mail.arlus[.]es
    sender : compras@arlus[.]es
    receiver : zspamming@modularelect[.]com
    user : compras@arlus[.]es
    pw : Lg****Vz
  • server : mail.jindalpackaging[.]in
    sender : info@jindalpackaging[.]in
    receiver : donya@fortunaship[.]com
    user : info@jindalpackaging[.]in
    pw : Jinda****fo##
  • server : mail.melcme[.]com
    sender : sales@melcme[.]com
    receiver : fastonefast08@gmail[.]com
    user : sales@melcme[.]com
    pw : sa****7@
  • server : mail.qnscont[.]com
    sender : hr.dept@qnscont[.]com
    receiver : support@gcsenagency[.]com
    user : hr.dept@qnscont[.]com
    pw : 2020****om

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • angebot resale.de interesse nummer 02022022555987665.exe
  • HBL_Scan_copy.exe
  • New purchase order PO6742311pdf.exe
  • Payment advice.exe
  • payment copy.exe
  • payment_advice..exe
  • payment_copy.exe
  • PAYMENT_INSTRUCTIONS_COPY.exe
  • PI.exe
  • PROFORMA INVOICE.exe
  • PURCHASE ORDER.exe
  • purchase order_no102277.exe
  • SAMPLE_INVOICE.exe
  • SOA.exe
  • SWIFT_DETAILS_093424217183.exe


Top 2 – Formbook

インフォスティーラー型マルウェアである Formbook は11.9%を占めており、2位に名が上がった。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • dhl 領収書ドキュメント配達871209.pdf.exe
  • DHL_Receipt_3-02-22._txt.exe
  • Order_No_5843.exe
  • PENDING_INVOICE&SOA.exe
  • Proforma_Invoice#09876-INV-Order.PDF.exe
  • shipping invoice documents.pdf.exe
  • SHIPPING_INVOICE_DOCUMENTS.pdf.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。


Top 3 – Emotet

Emotet は10.7%で3位になっている。Emotet はバンキングマルウェアであり、スパムメールを通して拡散し続けている。

https://asec.ahnlab.com/jp/30861/

基本的に、インストールされる形態は追加の機能がないダウンローダーであり、システムにインストールされた後、追加でモジュールもしくはマルウェアがダウンロードできる。

追加のモジュールとしては、Web ブラウザ及びメールアカウント情報などの、ユーザー情報を窃取するモジュールと、共有フォルダ等を利用した伝播モジュールがある。ダウンロードされたマルウェアは Qakbot、Trickbot 等、さらに別のバンキングマルウェアがある。

以下は、確認された Emotet の C&C サーバーの一部である。

  • 149.202.179[.]100:443
  • 103.75.201[.]4:443
  • 50.116.54[.]215:443
  • 129.232.188[.]93:443
  • 217.182.143[.]207:443
  • 129.232.188[.]93:443
  • 79.172.212[.]216:8080
  • 144.76.186[.]49:8080


Top 4 –  RedLine

RedLine マルウェアは7.5%で4位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

  • 92.255.57[.]154:11841
  • 92.255.57[.]115:11841
  • 91.243.59[.]37:61742
  • 91.243.32[.]8:20856
  • 91.243.32[.]101:1568
  • 51.79.188[.]112:7110
  • 5.206.227[.]11:63730
  • 46.8.52[.]48:9006
  • 185.215.113[.]83:60722
  • 185.215.113[.]10:39759
  • 185.183.32[.]183:80
  • 185.128.107[.]100:80
  • 185.112.83[.]135:15482
  • 157.90.17[.]156:56409
  • 116.203.252[.]195:22021


Top 5 –  Remcos

今週は Remcos が4.4%で5位を占めている。Remcos は RAT マルウェアとして、キーロガーを含む情報流出および様々な攻撃者の命令を実行できる。

https://asec.ahnlab.com/jp/17889/

Remcos は AgentTesla、Formbook、NanoCore 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。最近は、特定のツールを装って配布されるケースも多く発見されている。

以下は、確認された Remcos の C&C サーバーアドレスである。

  • 91.243.44[.]30:37773
  • 91.243.44[.]32:58432
  • 91.243.44[.]33:7813
  • 185.140.53[.]178:2404

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments