Posted By ,

ASEC マルウェア週間統計 ( 20220307~20220313 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年3月7日(月)から3月13日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが71.2%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが12.4%、ダウンローダーが6.8%、バンキング型マルウェアが5.9%、ランサムウェアが2.7%、バックドアが0.3%の順に集計された。

Top 1 –  AgentTesla

今週はインフォスティーラー型マルウェアである AgentTesla が29.4%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。

  • server mail.alimentostolten[.]cl (177.221.140[.]71)
    sender moo3@alimentostolten.cl
    receiver moo3@alimentostolten.cl
    user moo3@alimentostolten.cl 
    pw icui*****@
  • server mail.atharvashipping[.]co (107.180.38[.]104)
    sender stanley@atharvashipping.co
    receiver sharif@kadenasportwear.com 
    user stanley@atharvashipping.co
    pw S*******5
  • server mail.escueladeseguridadmaritima[.]com (160.153.132[.]203)
    sender julieta@escueladeseguridadmaritima.com
    receiver officestore2022@gmail.com
    user julieta@escueladeseguridadmaritima.com
    pw JUs******20

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • IATF 16949 LOC&ISO 9001 & ISO 14001 signed contrct.pdf_2.exe
  • PO 102230.PDF (Savana Delhi MedicChem. Private Ltd) Signed Copy.exe
  • ORDER FOR FU.exe
  • PO-HBK3092022.exe
  • AWB NO.5646219901-Invoice & Shipping Documents.exe
  • AWB N0 – 30296411_Invoice Documets 2022.exe
  • INVOICE – JPg.exe
  • AmBank Malaysia Swift Copy.exe
  • STATEMENT_OF_ACCOUNT.exe
  • Quote_order#098799.exe
  • dhl shippping documents.pdf.exe
  • PAYMENT_SLIP.exe
  • URGENT__P_O.exe

Top 2 – Formbook

Formbook マルウェアは26.6%で2位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。下記のリストで「bmpdsani22-0049rs_1.exe」、「enhptcdzxlpgiuy.exe」のようなファイルの場合、最上位フォルダー名のみ変更し、メールの受信者をターゲットに配布したことと推定される。つまり、フィッシングメールに圧縮して添付するフォルダーの名前のみを変更して配布したものと見られるため、出処の不明な送信者からのメールの閲覧は特に注意する必要がある。

  • EUR_18630-7014608032022-pdf.pif.exe
  • PO_00107_03_22.exe
  • Enquiry.exe
  • PROFORMA_INVOICE.exe
  • Commercial-Invoice.exe
  • Swift_copy.exe
  • 翻訳:○○建設(株)2022 欠陥補修着工、竣工届\bmpdsani22-0049rs_1.exe
  • 見積書(株)○○○インフラ20220307_104249\bmpdsani22-0049rs_1.exe
  • ○○○○ 見積書\bmpdsani22-0049rs_1.exe
  • ○○○○○ バイオテック発注書 ph meter\enhptcdzxlpgiuy.exe
  • ○○○国製品単価表(220311)_○○○○マート\enhptcdzxlpgiuy.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.mimihin[.]com/s32s/
  • hxxp://www.cesiesis[.]com/rmpc/
  • hxxp://www.hapocun[.]link/o09u/
  • hxxp://www.redandseven[.]com/nhc5/
  • hxxp://www.arches2[.]com/qbkr/
  • hxxp://www.budistx[.]com/s9m1/
  • hxxp://www.onegaitom[.]online/g2e7/

Top 3 –  Lokibot

Lokibot マルウェアは11.5%を占めており、3位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

  • orden de compra_pdf________________________________.exe
  • PO 220803-04A.exe
  • update status of order 07G050.exe
  • 193026588 Swift Copy.exe
  • CRIBER-(P.O_H6790074)_scan0394.exe
  • PO 3360.exe

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://hstfurnaces[.]net/gd10/fre.php
  • hxxp://nesofirenit[.]gq/stats/fre.php
  • hxxp://chrisupdated[.]xyz/ttboi/five/fre.php
  • hxxp://dfrcy[.]xyz/MV1/w2/fre.php
  • hxxp://qtd8gcdoplav737wretjqmaiy[.]cf/Kent1/fre.php
  • hxxp://75bccc18b4d1631c2ecda542c872db27[.]gq/BN1/fre.php
  • hxxp://vmopahtqdf84hfvsqepalcbcch63gdyvah[.]ml/BN2/fre.php

Top 4 –  BeamWinHTTP

6.5%で4位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。

https://asec.ahnlab.com/jp/26235/

以下は、確認された C&C サーバーアドレスである。

  • hxxp://appwebstat[.]biz 

Top 5 –  RedLine

RedLine マルウェアは5.9%で5位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

  • f0642513.xsph[.]ru
  • 45.142.212[.]178
  • deyneyab[.]xyz
  • rtrkolada[.]xyz
  • 5.206.227[.]11

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

Tagged as:

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments