ASEC マルウェア週刊統計 ( 20220221~20220227 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年2月21日(月)から2月27日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが77.9%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが15%、ダウンローダーが2.9%、ランサムウェアが2.1%、バンキング型マルウェアが1.7%、バックドアが0.4%の順に集計された。


Top 1 – Formbook

今週はインフォスティーラー型マルウェアである Formbook が30%で1位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • mv ERATO.exe
  • Order-EM825103741-pdf.pif
  • BL710826153-pdf.pif
  • rro4665321.exe
  • Order file No 3028802232022.exe
  • AW212504.exe
  • URGENT REQUEST FOR QUOTSCAN COPY_PDF_______________________________________….exe
  • Order-FZ051193741-pdf.pif
  • SCAN-PO_2002226598543098809326751.exe
  • Quatation_PDF_______________________________…exe
  • payment of ($288273.63).exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.high-clicks[.]com/pvxz/
  • hxxp://www.bamboop[.]xyz/sk6z/
  • hxxp://www.ammarus[.]com/gqvv/
  • hxxp://www.gobits3[.]com/8vrd/
  • hxxp://www.ocvcoins[.]com/uit2/
  • hxxp://www.setlyon[.]xyz/wm08/
  • hxxp://www.fykori[.]xyz/os16/
  • hxxp://www.hughers3[.]com/tk66/
  • hxxp://www.funtabse[.]com/pout/
  • hxxp://www.solten[.]online/d1s8/
  • hxxp://www.dashmints[.]com/b0us/
  • hxxp://www.besrbee[.]com/yrcy/
  • hxxp://www.trc-clicks[.]com/p2a5/
  • hxxp://www.moreosin[.]com/ioxf/


Top 2 –  AgentTesla

AgentTesla マルウェアは26.7%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。

  • server mail.aquariushotelboutique[.]com (107.180.44[.]132)
    sender agency@aquariushotelboutique[.]com
    receiver agency@aquariushotelboutique[.]com
    user agency@aquariushotelboutique[.]com
    pw vDbNa****gra
  • server mail.translogship.co[.]in (103.50.163[.]138)
    sender bhandary@translogship.co[.]in
    receiver hokota@contrivekota[.]in
    user bhandary@translogship.co[.]in
    pw koLk****19
  • server mail.wpl-india[.]com (148.163.89[.]221)
    sender paras@wpl-india[.]com
    receiver paras@wpl-india[.]com
    user paras@wpl-india[.]com
    pw o.wExrB****6

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • SOA JAN 2022.exe
  • NEW ORDER.exe
  • RULES AND FORM.exe
  • NEW ORDER Nr 6543981.exe
  • Job_No_2015986.pdf
  • PO#E2202099C2.exe
  • attachment_2.bin
  • parka.exe
  • ORIGINAL SHIPPING DOCUMENT & BL DRAFT.exe
  • 400000.Shandong Chenhong Medical catalog and price list.exe
  • facturas y datos bancarios.pdf.exe
  • RFQ #600019939189_10-02-2022.exe
  • AWB PACKING LIST & COMMERCIAL INVOICE.exe


Top 3 –  Lokibot

Lokibot マルウェアは13.3%を占めており、3位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

  • ENC A05-인보이스 – WENLI – 프로세스 2152022.exe (翻訳:ENC A05-インボイス – WENLI – プロセス 2152022.exe)
  • Sewoong Ref No. MQ-3018 & MQ-3019.exe
  • QOUTATION_pdf________________________________________.exe
  • copia rápida.exe
  • vbc.exe
  • .wininit.exe

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://afripot[.]buzz/oluwa/five/fre.php
  • hxxp://secure01-redirect[.]net/gd16/fre.php
  • hxxp://secure01-redirect[.]net/gd13/fre.php
  • hxxp://secure01-redirect[.]net/gc23/fre.php
  • hxxp://secure01-redirect[.]net/gc20/fre.php
  • hxxp://calomdule[.]gq/active/fre.php
  • hxxp://brokenskulltechnologies[.]tk/BN1/fre.php
  • hxxp://75bccc18b4d1631c2ecda542c872db27[.]ga/Ausin2/fre.php
  • hxxp://250b48d798957fbf33b77ae8a74a45ca[.]cf/Ausin4/fre.php
  • hxxp://2.56.59[.]31/pureserver/fre.php
  • hxxp://dieselloil[.]buzz/bobby/five/fre.php
  • hxxp://afripot[.]buzz/oluwa/five/fre.php


Top 4 –  RedLine

RedLine マルウェアは4.6%で4位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

  • 95.216.16[.]35:80
  • 94.23.26[.]20:1611
  • 91.243.32[.]162:41776
  • 91.243.32[.]101:1568
  • 45.133.203[.]40:20113
  • 193.150.103[.]37:81
  • 185.233.200[.]90:17645
  • 185.215.113[.]83:60722
  • 185.200.191[.]18:80
  • 116.203.252[.]195:11112


Top 4 –  Remcos

今週は Remcos が4.6%で同率4位になっている。Remcos は RAT マルウェアとして、キーロガーを含む情報流出および様々な攻撃者の命令を実行できる。

https://asec.ahnlab.com/jp/17889/

Remcos は AgentTesla、Formbook、NanoCore 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。最近は、特定のツールを装って配布されるケースも多く発見されている。

以下は、確認された Remcos の C&C サーバーアドレスである。

  • 91.243.44[.]101:8274
  • 91.243.44[.]90:80
  • 91.243.44[.]142:80
  • 91.243.44[.]200:80
  • 91.243.44[.]142:3215

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments