ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年3月21日(月)から3月27日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが75.4%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.7%、ダウンローダーが4.8%、バンキング型マルウェアが2.4%、ランサムウェアがが0.8%の順に集計された。
Top 1 – AgentTesla
AgentTesla マルウェアは25.4%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。
- server : mail.contrivekota[.]in
sender : info1@contrivekota[.]in
receiver : hokota@contrivekota[.]in
user : info1@contrivekota[.]in
pw : Contr****23$ - server : mail.atifnazar[.]com
sender : yasir@atifnazar[.]com
receiver : nelsonson202@gmail[.]com
user : yasir@atifnazar[.]com
pw : anazar@*****@ - server : mail.alimentostolten[.]cl
sender : moo7@alimentostolten[.]cl
receiver : moo7@alimentostolten[.]cl
user : moo7@alimentostolten[.]cl
pw : icui4****@
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- BL7237207220.exe
- Bukti-Transfer..exe
- Facturas Pagadas al Vencimiento Senders Name Confirming.bbvapdf.exe
- FEDEX Online Customer Advisory AWB BL Draft Commercial. Invoice 202005173534231972.pdf.exe
- GSC CONTRACT ORDER.exe
- Inquiries_55MT.exe
- INV.0011040.2022.Img.exe
- RE TM 1200 203417 521.exe
- solu.jpg.exe
Top 2 – Formbook
今週はインフォスティーラー型マルウェアである Formbook が20.2%で2位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- DHL Express Shipment Receipt.exe inquiry.exe
- INVOICE.exe
- New Order 3346585857.exe
- PAYMENT COPY.exe
- Proforma Invoice BE_603928.exe
- PURCHASE_ORDER.exe
- Quotation 6000063442 – REQUIRE SLURRY.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.abros88[.]com/46uq/
- hxxp://www.amenosu[.]com/b8eu/
- hxxp://www.arches2[.]com/qbkr/
- hxxp://www.budistx[.]com/s9m1/
- hxxp://www.cures8t[.]com/p9iu/
- hxxp://www.gunnipes[.]com/t90i/
- hxxp://www.plick-click[.]com/w6ot/
- hxxp://www.pordges[.]com/ok4e/
Top 3 – Lokibot
Lokibot マルウェアは15.5%を占めており、3位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
https://asec.ahnlab.com/jp/16835/
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- _ORD2697685.exe
- Copy_Of_Remittance.exe
- FEB INVOICES.exe
- persetujuan reeksport eks import sementara.pdf.exe
- PO #220321-2A.exe
- PO #220322-01A.exe
- PO 220324-0221A.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://furnaceshst[.]net/ge1/fre.php
- hxxp://furnaceshst[.]net/ge10/fre.php
- hxxp://furnaceshst[.]net/gd12/fre.php
- hxxp://mailsvr1[.]tk/BN1/fre.php
- hxxp://outlook-webpage-auth[.]ml/debsfletch/logs/fre.php
- hxxp://dlokis[.]xyz/cy/keke.php
- hxxp://sempersim[.]su/ge9/fre.php
- hxxp://vmopahtqdf84hfvsqepalcbcch63gdyvah[.]ml/BN2/fre.php
Top 4 – RedLine
RedLine マルウェアは8.3%で4位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- 188.68.205[.]115:17645
- 193.106.191[.]253:4752
- 193.150.103[.]38:80
- 194.87.109[.]41:4608
- birja1[.]com:80
Top 5 – SnakeKeylogger
6.7%で5位を占めた SnakeKeylogger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。
https://asec.ahnlab.com/jp/22111/
このマルウェアは AgentTesla と同様に、収集した情報を流出させる際に、メールサーバーおよびユーザーアカウントを利用しており、最近流入したサンプルが利用しているアカウントは以下の通りである。
- mail.ayg.com[.]tr
sender: e.basarici@ayg[.]com.tr
receiver: e.basarici@ayg[.]com.tr
user: e.basarici@ayg[.]com.tr
pw: g)*g^****;vn - mail.iskarosgb[.]com.tr
sender: iskar@iskarosgb.com[.]tr
receiver: saleseuropower2@yandex[.]com
user: iskar@iskarosgb[.]com.tr
pw: pi1****1C - smtp.perrnatherm[.]net
sender: sw@perrnatherm[.]net
receiver: allshapewebmail@gmail[.]com
user: sw@perrnatherm[.]net
pw: jn****T1
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計