ASEC マルウェア週間統計 ( 20220207~20220213 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年2月7日(月)から2月13日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが62.3%と1位を占めており、その次に バンキング型マルウェアが18.6%、RAT(Remote Administration Tool)マルウェアが13.6%、ダウンローダーが3.4%、ランサムウェアが1.3%の順に集計された。


Top 1 –  AgentTesla

AgentTesla は30.9%で1位になっている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。

  • server : mail.imibic[.]org
    sender : facturacion@imibic[.]org
    receiver : facturacion@imibic[.]org
    user : facturacion@imibic[.]org
    pw : 537****48!
  • server : mail.tuquyfood[.]com
    sender : tuquyfood@tuquyfood[.]com
    receiver : marketdept@davitecco[.]com
    user : tuquyfood@tuquyfood[.]com
    pw : Tien****23
  • server : mail.butterflymotors[.]com
    sender : hr@butterflymotors[.]com
    receiver : ellisjemie2b@gmail[.]com
    user : hr@butterflymotors[.]com
    pw : #ifO****n2j{

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • DHLAWB130501923096PDF.exe
  • DOC.exe
  • DOCS.exe
  • IHARA RFQ_20983764_pdf.exe
  • INDIA HCU27GHED.exe
  • invoices.exe
  • New po docs..exe
  • pay.exe
  • Payment Slip.exe
  • PO211022.exe
  • QUOTATIONESV20220210.PDF.exe
  • RFQ Quotation.exe
  • RFQ1090212004.PDF.exe
  • RFQNº00024625.PDF.exe
  • SHIPMENT DOCUMENTS-INVOICE.exe
  • shipping docs BL PL.exe
  • SKT66800.EXE
  • SPECIFIC.EXE


Top 2 – Emotet

Emotet は18.2%で2位になっている。Emotet はバンキングマルウェアであり、スパムメールを通して拡散し続けている。

https://asec.ahnlab.com/jp/30861/

基本的に、インストールされる形態は追加の機能がないダウンローダーであり、システムにインストールされた後、追加でモジュールもしくはマルウェアがダウンロードできる。

追加のモジュールとしては、Web ブラウザ及びメールアカウント情報などの、ユーザー情報を窃取するモジュールと、共有フォルダ等を利用した伝播モジュールがある。ダウンロードされたマルウェアは Qakbot、Trickbot 等、さらに別のバンキングマルウェアがある。

以下は、確認された Emotet の C&C サーバーの一部である。

  • 217.182.143[.]207:443
  • 159.69.237[.]188:443
  • 103.75.201[.]4:443
  • 144.76.186[.]55:7080
  • 51.254.140[.]238:7080
  • 162.214.50[.]39:7080
  • 174.136.15[.]27:8080
  • 198.199.98[.]78:8080
  • 185.148.168[.]220:8080
  • 139.196.72[.]155:8080
  • 45.118.115[.]99:8080
  • 178.79.147[.]66:8080


Top 3 – Formbook

インフォスティーラー型マルウェアである Formbook は13.6%を占めており、3位に名が上がった。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • doc_2863910036.exe
  • hsbc customer information.exe
  • HSBC Payment Advice.exe
  • IMG_00945006777.exe
  • Order EHP 5286 2022.scr
  • ORDER S20220211-601.exe
  • PQR-380.HESS – STRUCTURE MATERIALS FOR PUNCHLIST.exe
  • sewoong ref no. mq-3018 & mq-3019.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.alpeshpate[.]com/mwfc/
  • hxxp://www.becu84ts[.]com/gcnc/
  • hxxp://www.besrbee[.]com/yrcy/
  • hxxp://www.harsors[.]com/r3hg/
  • hxxp://www.mefacin[.]online/k12t/
  • hxxp://www.minimi36[.]com/aemt/
  • hxxp://www.sacremots[.]com/ahb9/
  • hxxp://www.sacremots[.]com/tod8/


Top 4 –  Lokibot

Lokibot マルウェアは12.3%を占めており、4位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

  • B2B – TX 424 Feb 2022.exe
  • ENQUIRY LIST FEB72022.exe
  • PO 220208-001A.exe
  • PO 220209-0081A.exe
  • PO_FF-feb_2202F25.exe
  • PO-3451099 (09_02_22).exe
  • Purchase order.exe

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://copictory[.]cf/fashion/fre.php
  • hxxp://nesofirenit[.]gq/portion/fre.php
  • hxxp://rkfs[.]xyz/MV1/w2/fre.php
  • hxxp://secure01-redirect[.]net/gc18/fre.php
  • hxxp://secure01-redirect[.]net/gc23/fre.php
  • hxxp://secure01-redirect[.]net/gc26/fre.php
  • hxxp://sudais.com[.]pk/876/2Panel/fre.php


Top 5 –  RedLine

RedLine マルウェアは5.5%で5位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

  • 185.215.113[.]83:60722
  • 185.215.113[.]83:60722
  • 185.215.113[.]94:55535
  • 45.142.215[.]47:27643
  • 49.12.5[.]55:17967
  • 91.243.32[.]42:52075

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments