ASEC マルウェア週間統計 ( 20220314~20220320 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年3月14日(月)から3月20日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが70.0%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.8%、ダウンローダーが5.7%、バンキング型マルウェアが3.6%、コインマイナーとバックドアが0.4%の順に集計された。

Top 1 – Formbook

Formbook マルウェアは26.3%で1位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。下記のリストに太字で表示されているようなファイルの場合、最上位フォルダー名のみ変更し、複数のメールの受信者をターゲットに配布したものと推定される。すなわち、不正なメールに添付された圧縮ファイル、もしくは内部フォルダーの名前のみを変更して配布したものと判断することができる。そのため、出処の不明な送信者からのメールには特に注意する必要がある。

  • remittance_details.exe
  • LIST_OF_.EXE
  • purchase_Order.exe
  • Shipping_Documents.exe
  • Copia_de_pago_bancario.exe
  • 2022-03-15月間監査通知\zuf8gpog5obhvls.exe
  • 図書注文書_(3)○○\zuf8gpog5obhvls.exe
  • NEW_ORDER_003DB52.exe
  • SCAN_DOCUMENTS.exe
  • 契約書(○○建設)\ceqnotjaj1hudct.exe
  • ○○建築(03.14図面)\rivhal1bfjf2hen.exe
  • 対外文書-194-買収意向書-○○棟\rivhal1bfjf2hen.exe
  • 品目内容\rivhal1bfjf2hen.exe
  • BG V.085(07)-REVISED DRAFT BL.exe
  • 見積書 – bsgs p3 project 塗装工事\wsn3k09khinyfim.exe
  • ○定\wsn3k09khinyfim.exe
  • 2022-03-15月間監査通知\wsn3k09khinyfim.exe
  • PAYMENT_COPY.exe
  • OFFER.exe
  • qoutation.exe
  • INVOICE.exe
  • KGA20-AC-B6 RFQ Mancuso Nro.6315-22 6313.exe
  • banking details.pdf.exe
  • PROFORMA_INVOICE.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.ocvcoins[.]com/sued/
  • hxxp://www.nropes[.]com/dgrg/
  • hxxp://www.plick-click[.]com/w6ot/
  • hxxp://fendoremi[.]com/p4sm/
  • hxxp://www.pordges[.]com/pot0/
  • hxxp://www.cesiesis[.]com/rhen/
  • hxxp://www.cures8t[.]com/p9iu/
  • hxxp://www.gingure[.]com/mc3w/
  • hxxp://www.topvadexo[.]xyz/nr09/
  • hxxp://www.hughers3[.]com/cbgo/
  • hxxp://www.catdanos[.]com/c6bi/
  • hxxp://www.nifaji[.]com/vfm2/
  • hxxp://www.alenoce[.]online/id02/
  • hxxp://www.mydactil[.]online/e0l9/
  • hxxp://www.ducer[.]info/ge32/
  • hxxp://www.heinousas[.]com/sj8q/
  • hxxp://www.price-hype[.]com/apg5/
  • hxxp://vrezvrez[.]com/private/
  • hxxp://www.arches2[.]com/c20t/
  • hxxp://www.floricg[.]online/b0h3/
  • hxxp://www.budistx[.]com/eoww/
  • hxxp://www.hutclus[.]online/m0e8/


Top 2 –  AgentTesla

今週はインフォスティーラー型マルウェアである AgentTesla が23.5%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。

  • server: mail.cbiperu[.]com
    sender: jcanola@cbiperu[.]com
    receiver: jcanola@cbiperu[.]com
    user: jcanola@cbiperu[.]com
    pw: J2111****1@
  • server: mail.swarnford[.]in
    sender: audit@swarnford[.]in
    receiver: hhamadi@tangafresh[.]com
    user: audit@swarnford.in
    pw: F!g***56
  • server: mail.orchidexports[.]biz
    sender: belinda.ruston@orchidexports[.]biz
    receiver: boxs2599@gmail[.]com
    user: belinda.ruston@orchidexports[.]biz
    pw: q6M5****OWDO

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • IATF 16949 LOC&ISO 9001 & ISO 14001 signed contrct.pdf_2.exe
  • PO 102230.PDF (Savana Delhi MedicChem. Private Ltd) Signed Copy.exe
  • ORDER FOR FU.exe
  • PO-HBK3092022.exe
  • AWB NO.5646219901-Invoice & Shipping Documents.exe
  • AWB N0 – 30296411_Invoice Documets 2022.exe
  • INVOICE – JPg.exe
  • AmBank Malaysia Swift Copy.exe
  • STATEMENT_OF_ACCOUNT.exe
  • Quote_order#098799.exe
  • dhl shippping documents.pdf.exe
  • PAYMENT_SLIP.exe
  • URGENT__P_O.exe


Top 3 –  Lokibot

Lokibot マルウェアは13.8%を占めており、3位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

  • orden de compra_pdf________________________________.exe
  • PO 220803-04A.exe
  • update status of order 07G050.exe
  • 193026588 Swift Copy.exe
  • CRIBER-(P.O_H6790074)_scan0394.exe
  • PO 3360.exe

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://164.90.194[.]235/?id=54083300496945222
  • hxxp://75bccc18b4d1631c2ecda542c872db27[.]gq/BN1/fre.php
  • hxxp://212.192.241[.]50/3i030/pin.php
  • hxxp://chrisupdated[.]xyz/ttboi/panel/five/fre.php
  • hxxp://hstfurnaces[.]net/gd21/fre.php
  • hxxp://frostandkeeling[.]cf/Ausin4/fre.php
  • hxxp://62.197.136[.]186/oluwa/five/fre.php
  • hxxp://outlook-webpage-auth[.]ml/worldwide/logs/fre.php
  • hxxp://qtd8gcdoplav737wretjqmaiy[.]gq/Kent2/fre.php


Top 4 –  RedLine

RedLine マルウェアは10.1%で4位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

  • 92.255.57[.]154:11841
  • xabigyarall[.]xyz:80
  • rtrkolada[.]xyz:80
  • 65.21.1[.]119:24371
  • 49.12.69[.]202:40517
  • 194.87.109[.]41:4608
  • 193.150.103[.]37:21330
  • 185.215.113[.]122:15386


Top 5 –  BeamWinHTTP

5.7%で5位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。

https://asec.ahnlab.com/jp/26235/

以下は、確認された C&C サーバーアドレスである。

  • hxxp://appwebstat[.]biz
  • hxxp://ads-memory[.]biz
  • hxxp://luipartners[.]com
  • hxxp://stenlihard[.]com

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments