Posted By Hansoyoung , 2022年 March 14日

ASEC マルウェア週間統計 ( 20220228～20220306 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年2月28日(月)から3月6日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが67.0%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.0%、ダウンローダーが6.8%、バンキング型マルウェアが4.1%、ランサムウェアが2.7%、バックドアが0.5%の順に集計された。

Top 1 – Formbook

今週はインフォスティーラー型マルウェアである Formbook が28.1%で1位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

DH-0010302022.exe
85397635-622102032022-pdf.pif.exe
IRQ2107799_pdf.exe
MT_DB_SUNRISE_V.2130__PARTICULARS.exe
Shipment_Document_BL,INV_and_packing_list.jpg.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

hxxp://www.cesiesis[.]com/fa0p/
hxxp://www.plick-click[.]com/ahc8/
hxxp://www.ocvcoins[.]com/sued/
hxxp://www.pordges[.]com/ok4e/
hxxp://www.neurosise[.]com/efa8/
hxxp://www.amenosu[.]com/nqs9/
hxxp://www.ducer[.]info/rzwo/
hxxp://www.demtate[.]xyz/d23n/
hxxp://www.ban-click[.]com/ciaz/
hxxp://www.moreosin[.]com/qwod/
hxxp://www.piecebin[.]com/ahge/
hxxp://www.mimihin[.]com/s32s/
hxxp://www.serenistin[.]com/r6he/
hxxp://www.hughers3[.]com/cbgo/
hxxp://www.fendoremi[.]com/wesd/

Top 2 – AgentTesla

AgentTesla マルウェアは21.7%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。

server mail.modelinfra[.]com (159.89.168[.]198)
sender jagadeesan@modelinfra.com
receiver mj6413780@gmail.com
user jagadeesan@modelinfra.com
pw HOm*******42
server mail.neneka[.]org (108.167.180[.]132)
sender violeta@neneka.org
receiver re.insurance.niic@gmail.com
user violeta@neneka.org
pw Ne******16
server smtp.1and1[.]es (212.227.15[.]142)
sender anamari@fontarodri.com
receiver ojoglog@gmail.co
user anamari@fontarodri.com
pw an******3

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

documents.exe
BILL_OF_LANDING_DRAFT.COMMERCIAL_INVOICE._PACKING_LIST&ISO_CERTIFICATE_2022.ex
PO2022030311009283_pdf.exe
Konoike_Asia(Thailand)Co.,Ltd-_Products_List.exe
RFQ#12753.exe

Top 3 – Lokibot

Lokibot マルウェアは14.0%を占めており、3位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

Factura de proforma_pdf__________.exe
Comprobante- $178.000 USD.exe
DH-0010302022.exe
85397635-622102032022-pdf.pif.exe
RFQ.exe

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

hxxp://hstfurnaces[.]net/gd13/fre.php
hxxp://xhvbzueifhdbjdfywete4y8va[.]cf/Ausin3/fre.php
hxxp://63.250.35[.]245/image.php?view=49922917248520685
hxxp://lasloki[.]us/re/rr.php
hxxp://142.93.227[.]231/oluwa/five/fre.php
hxxp://75bccc18b4d1631c2ecda542c872db27[.]gq/BN1/fre.php
hxxp://calomdule[.]gq/active/fre.php
hxxp://dikkann[.]com/rg/cx/hope.php
hxxp://frostandkeeling[.]cf/Ausin4/fre.php
hxxp://chrisupdated[.]xyz/ttboi/five/fre.php

Top 4 – RedLine

RedLine マルウェアは7.7%で4位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

185.200.191[.]18:80
disanddillanne[.]xyz:80
rtrkolada[.]xyz:80
91.243.32[.]83:41839
185.200.191[.]18:80

Top 5 – BeamWinHTTP

6.8%で5位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。

https://asec.ahnlab.com/jp/26235/

以下は、確認された C&C サーバーアドレスである。