ASEC マルウェア週間統計 ( 20220228~20220306 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年2月28日(月)から3月6日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが67.0%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.0%、ダウンローダーが6.8%、バンキング型マルウェアが4.1%、ランサムウェアが2.7%、バックドアが0.5%の順に集計された。


Top 1 – Formbook

今週はインフォスティーラー型マルウェアである Formbook が28.1%で1位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • DH-0010302022.exe
  • 85397635-622102032022-pdf.pif.exe
  • IRQ2107799_pdf.exe
  • MT_DB_SUNRISE_V.2130__PARTICULARS.exe
  • Shipment_Document_BL,INV_and_packing_list.jpg.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.cesiesis[.]com/fa0p/
  • hxxp://www.plick-click[.]com/ahc8/
  • hxxp://www.ocvcoins[.]com/sued/
  • hxxp://www.pordges[.]com/ok4e/
  • hxxp://www.neurosise[.]com/efa8/
  • hxxp://www.amenosu[.]com/nqs9/
  • hxxp://www.ducer[.]info/rzwo/
  • hxxp://www.demtate[.]xyz/d23n/
  • hxxp://www.ban-click[.]com/ciaz/
  • hxxp://www.moreosin[.]com/qwod/
  • hxxp://www.piecebin[.]com/ahge/
  • hxxp://www.mimihin[.]com/s32s/
  • hxxp://www.serenistin[.]com/r6he/
  • hxxp://www.hughers3[.]com/cbgo/
  • hxxp://www.fendoremi[.]com/wesd/


Top 2 –  AgentTesla

AgentTesla マルウェアは21.7%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。

  • server mail.modelinfra[.]com (159.89.168[.]198)
    sender jagadeesan@modelinfra.com 
    receiver mj6413780@gmail.com 
    user jagadeesan@modelinfra.com 
    pw HOm*******42 
  • server mail.neneka[.]org (108.167.180[.]132)
    sender violeta@neneka.org
    receiver re.insurance.niic@gmail.com 
    user violeta@neneka.org 
    pw Ne******16 
  • server smtp.1and1[.]es (212.227.15[.]142)
    sender anamari@fontarodri.com 
    receiver ojoglog@gmail.co
    user anamari@fontarodri.com 
    pw an******3 

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • documents.exe
  • BILL_OF_LANDING_DRAFT.COMMERCIAL_INVOICE._PACKING_LIST&ISO_CERTIFICATE_2022.ex
  • PO2022030311009283_pdf.exe
  • Konoike_Asia(Thailand)Co.,Ltd-_Products_List.exe
  • RFQ#12753.exe


Top 3 –  Lokibot

Lokibot マルウェアは14.0%を占めており、3位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

  • Factura de proforma_pdf__________.exe
  • Comprobante- $178.000 USD.exe
  • DH-0010302022.exe
  • 85397635-622102032022-pdf.pif.exe
  • RFQ.exe

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://hstfurnaces[.]net/gd13/fre.php
  • hxxp://xhvbzueifhdbjdfywete4y8va[.]cf/Ausin3/fre.php
  • hxxp://63.250.35[.]245/image.php?view=49922917248520685
  • hxxp://lasloki[.]us/re/rr.php
  • hxxp://142.93.227[.]231/oluwa/five/fre.php
  • hxxp://75bccc18b4d1631c2ecda542c872db27[.]gq/BN1/fre.php
  • hxxp://calomdule[.]gq/active/fre.php
  • hxxp://dikkann[.]com/rg/cx/hope.php
  • hxxp://frostandkeeling[.]cf/Ausin4/fre.php
  • hxxp://chrisupdated[.]xyz/ttboi/five/fre.php


Top 4 –  RedLine

RedLine マルウェアは7.7%で4位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

  • 185.200.191[.]18:80
  • disanddillanne[.]xyz:80
  • rtrkolada[.]xyz:80
  • 91.243.32[.]83:41839
  • 185.200.191[.]18:80


Top 5 –  BeamWinHTTP

6.8%で5位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。

https://asec.ahnlab.com/jp/26235/

以下は、確認された C&C サーバーアドレスである。

  • hxxp://appwebstat[.]biz 

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments