ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年3月28日(月)から4月3日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが69.6%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが21.0%、ランサムウェアが5.1%、ダウンローダーが3.6%、コインマイナーが0.7%と集計された。
Top 1 – AgentTesla
AgentTesla マルウェアは28.3%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。
- server : mail.avadis-co[.]com (216.40.42[.]5)
sender : yousefi@avadis-co[.]com
receiver : bak.pavoll@gmail[.]com
user : yousefi@avadis-co[.]com
pw : 9*******1 - server : mail.conteudopuro[.]eu (94.46.176[.]210)
sender : scott@conteudopuro[.]eu
receiver : scott@conteudopuro[.]eu
user : scott@conteudopuro[.]eu
pw : 1&********-6 - server : smtp.uk-custom[.]com (208.91.198[.]143)
sender : office@uk-custom[.]com
receiver : office@uk-custom[.]com
user : office@uk-custom[.]com
pw : PF******v9 - server : webmail.cbiperu[.]com (158.69.52[.]114)
sender : jcanola@cbiperu[.]com
receiver : jcanola@cbiperu[.]com
user : jcanola@cbiperu[.]com
pw : J2*******1@ - server : mail.demetrology.com[.]my (103.8.25[.]76)
sender : faiz.aimi@demetrology.com[.]my
receiver : teahyunkoo@gmail[.]com
user : faiz.aimi@demetrology.com[.]my
pw : de*******20
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- DUBAI HCU 21EDD.exe
- REF 123694691.exe
- Arrival_Notice.exe
- stp.jpg
- documents.exe
- Transfer Confirmation 100241703_PDF.exe
- TRANSACTION ADVICE.exe
Top 2 – Lokibot
Lokibot マルウェアは20.3%を占めており、2位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- SI_DRAFT_SCAN_PO346314_pdf.exe
- UFJ_Bank_Outward_Remittance_Nichias_pdf.exe
- vbc.exe
- csrss.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://sempersim[.]su/bb/fre.php
- hxxp://sempersim[.]su/ge14/fre.php
- hxxp://outlook-webpage-auth[.]ml/worldwide/logs/fre.php
- hxxp://s474079.smrtp[.]ru/Panel/fre.php
- hxxp://vmopahtqdf84hfvsqepalcbcch63gdyvah[.]ml/BN2/fre.php
- hxxp://gaviscon[.]ml/Kent2/fre.php
- hxxp://62.197.136[.]176/userbob/five/fre.php
- hxxp://62.197.136[.]186/oluwa/five/fre.php
- hxxp://gaviscon[.]tk/Concord/fre.php
- hxxp://brokenskulltechnologies[.]gq/Marshall/fre.php
Top 3 – Formbook
インフォスティーラー型マルウェアである Formbook は13.8%で3位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- PAYMENT ADVICE (2).exe
- TT Copy.exe
- DHL. INV03296411.exe
- Request for Quotation_pdf.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.buresdx[.]com/be4o/
- hxxp://www.budistx[.]com/qbks/
- hxxp://www.buresdx[.]com/cbgo/
- hxxp://www.funtabse[.]com/pout/
- hxxp://www.besrbee[.]com/yrcy/
- hxxp://www.gingure[.]com/e0ep/
- hxxp://www.alpeshpate[.]com/mwfc/
- hxxp://www.fendoremi[.]com/cm5a/
- hxxp://www.neurosise[.]com/op53/
- hxxp://www.price-hype[.]com/mnqo/
Top 4 – RedLine
RedLine マルウェアは10.1%で4位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- 185.197.74[.]202:9516
- 62.204.41[.]166:27688
- 185.215.113[.]20:21921
- 193.150.103[.]37:21330
- 188.34.167[.]94:36709
Top 5 – Stop Ransomware
4.3%で5位になった Stop Ransomware は主に Exploit Kit によって配布されるランサムウェア型のマルウェアである。このマルウェアはユーザー PC 内の特定のファイルを暗号化することで、以前から様々な形態への変形を行い、配布され続けている。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計