ASEC マルウェア週間統計 ( 20220214～20220220 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年2月14日(月)から2月20日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが74.5%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが17.4%、バンキング型マルウェアが3.9%、ダウンローダーが2.1%、ランサムウェアも2.1%と集計された。

Top 1 –  AgentTesla

今週も AgentTesla が34.8%で1位になっている。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。

• server : smtp.agahgroup[.]az (162.214.48[.]246)
  sender : ceyhun@agahgroup[.]az
  receiver : ceyhun@agahgroup[.]az
  user : ceyhun@agahgroup[.]az
  pw : AG******147
• server : mail.escueladeseguridadmaritima[.]com (160.153.132[.]203)
  sender : sergio@escueladeseguridadmaritima[.]com
  receiver : armkmc2017@gmail[.]com
  user : sergio@escueladeseguridadmaritima[.]com
  pw : SE********2020
• server : mail.pas-shipping[.]com (94.23.214[.]113)
  sender : traffic@pas-shipping[.]com
  receiver : rahul.kadwekar@kenngloballogistics[.]com
  user : traffic@pas-shipping[.]com
  pw : Chik**********1400
• server : mail.akgorbant[.]com (89.252.138[.]67)
  sender : dilek.akgor@akgorbant[.]com
  receiver : llogin20@yandex[.]com
  user : dilek.akgor@akgorbant[.]com
  pw : Ms*******xd

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

• RFQNº00024625.pdf.GZ.exe
• datos bancarios.jpg_____________________________________.exe
• Payment confirmation.exe
• Purchase Order FEB22_76543.exe
• vbc.exe
• DHL_119040 de recibopdf.exe
• Quotation11022022.PDF.exe
• Factura_docs.exe
• RFQ1090212004.pdf.exe
• Wire Transfer Copy.exe
• Inquiry SK91403BWK_products list.exe

Top 2 – Formbook

インフォスティーラー型マルウェアである Formbook は23.4%を占めており、2位に名が上がった。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

• 중요한편지확인서.exe (翻訳：重要な手紙確認書.exe)
• 유***테크-발주서 송부의건.exe (翻訳：ユ***テック-発注書送付の件.exe)
• PDF_Scan-AWB5305323204640.exe
• Purchase Order FEB22_76543.exe
• INV-DHL202038.exe
• DELIVERY DOCUMENTS.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

• http://www.butsins[.]com/csig/
• http://www.harsors[.]com/r3hg/
• http://www.bumabagi[.]com/asus/
• http://www.plick-click[.]com/ahc8/
• http://www.nropes[.]com/n6g4/
• http://www.ban-click[.]com/nazb/
• http://www.plick-click[.]com/zqzw/

Top 3 –  Lokibot

Lokibot マルウェアは12.4%を占めており、3位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

• Se***ng Ref No. MQ-3018 & MQ-3019012.exe
• Se***ng Ref No. MQ-3018 & MQ-3019!!.exe
• se***ng ref no. mq-3018 & mq-30190 (2).exe
• SI_DRAFT_SCAN_PO346314_pdf.exe
• BL_FACTURA_DOCUMENTOS_pdf____________________________.exe
• PO 220215-021A.exe
• Purchase Oder Febuary List 2022.exe

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

• hxxp://secure01-redirect[.]net/gd13/fre.php
• hxxp://chrisupdated[.]xyz/ttboi/five/fre.php
• hxxp://s444475.smrtp[.]ru/Panel/fre.php
• hxxp://s451151.smrtp[.]ru/Panel/fre.php
• hxxp://xhvbzueifhdbjdfywete4y8va[.]tk/Ausin1/fre.php
• hxxp://secure01-redirect[.]net/gc19/fre.php
• hxxp://secure01-redirect[.]net/gd3/fre.php
• hxxp://secure01-redirect[.]net/gc23/fre.php
• hxxp://secure01-redirect[.]net/gc8/fre.php

Top 4 –  RedLine

RedLine マルウェアは5.0%で4位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

• 91.243.59[.]21:20856
• 5.206.227[.]11:63730
• 92.255.76[.]242:33301
• 91.243.59[.]167:60722
• 93.114.128[.]188:34783
• 109.107.184[.]25:43085
• 185.200.191[.]18:80
• 185.170.213[.]33:37821
• 46.8.153[.]20:25828
• 65.108.20[.]180:7251

Top 5 –  Remcos

今週は Remcos が4.3%で5位を占めている。Remcos は RAT マルウェアとして、キーロガーを含む情報流出および様々な攻撃者の命令を実行できる。

https://asec.ahnlab.com/jp/17889/

Remcos は AgentTesla、Formbook、NanoCore 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。最近は、特定のツールを装って配布されるケースも多く発見されている。

以下は、確認された Remcos の C&C サーバーアドレスである。

• 91.243.44[.]55:5204
• 91.243.44[.]26:2334
• 91.243.44[.]42:55333
• 91.243.44[.]142:3149
• 91.243.44[.]86:2334

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。