Posted By ,

ASEC マルウェア週間統計 ( 20220404~20220410 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年4月4日(月)から4月10日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが74.1%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが15%、ダウンローダーが6.2%、ランサムウェアが2.9%、バンキング型マルウェアが1.8%の順に集計された。


Top 1 –  AgentTesla

今週もインフォスティーラー型マルウェアである AgentTesla が27.7%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。

  • server: mail.waterchem.com[.]tr(109.232.216[.]96)
    sender: admin@waterchem.com[.]tr
    receiver: ugo@waterchem.com[.]tr
    user: admin@waterchem.com[.]tr  
    pw: 2022pa*****$
  • server: mail.newoasisbld[.]com(103.125.80[.]50)
    sender: sales@newoasisbld[.]com
    receiver: info-ctg@qandqbd[.]com
    user: sales@newoasisbld[.]com
    pw: S*****2022
  • server: smtp.sbtsrne[.]com(208.91.198[.]143)
    sender: janla@sbtsrne[.]com
    receiver: janla@sbtsrne[.]com
    user: janla@sbtsrne[.]com
    pw: Jn*****97

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • New Purchase Order – April_06_2022.exe
  • dangxianfood import request.exe
  • ATTACHMENT.exe
  • MT101 Swift_ Remittance Invoice.exe
  • TQ-202577_ Al Laith.doc..exe
  • NEW PO 14071103501_pdf.exe
  • Pago Factura.exe

Top 2 – Formbook

Formbook マルウェアは21.9%で2位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。下記のリストに太字で表示されているようなファイルの場合、最上位フォルダー名のみ変更し、複数のメールの受信者をターゲットに配布したものと推定される。すなわち、不正なメールに添付された圧縮ファイル、もしくは内部フォルダーの名前のみを変更して配布したものと判断することができる。そのため、出処の不明な送信者からのメールには特に注意する必要がある。

  • New Order #TX110804#.exe
  • Image000004.exe
  • Dhl _SHIPPING DOC – #0036284639289.exe
  • product list of trial order _00123133.exe
  • PO2204-012SP (TOP URGENT).exe
  • Pro Forma_pdf.exe QUOTATION.exe
  • invoice.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.webtrajpylive[.]online/bs11/
  • hxxp://www.stageyor[.]online/gn27/
  • hxxp://www.pordges[.]com/ok4e/
  • hxxp://www.neurosise[.]com/op53/
  • hxxp://www.mydactil[.]online/e0l9/
  • hxxp://www.keepitng[.]com/inga/
  • hxxp://www.kartye[.]xyz/pd21/
  • hxxp://www.globalfabtol[.]online/b11y/
  • hxxp://www.gingure[.]com/e0ep/
  • hxxp://www.gimbases[.]com/cnt4/
  • hxxp://www.demtate[.]xyz/d23n/
  • hxxp://www.dactil[.]xyz/s09m/
  • hxxp://www.cures8t[.]com/p9iu/


Top 3 –  Lokibot

Lokibot マルウェアは17.5%を占めており、3位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

  • MLOADER.exe
  • vloader.exe
  • qloader.exe
  • hloader.exe
  • updated_order.exe 
  • Cuserspublicvbc.exe
  • vbc.exe
  • Arrival Notice_XSS26005.exe

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://vmopahtqdf84hfvsqepalcbcch63gdyvah[.]ml/BN2/fre.php
  • hxxp://sempersim[.]su/bb/fre.php
  • hxxp://sdgcd[.]xyz/Mine/PWS/fre.php
  • hxxp://outlook-webpage-auth[.]ml/worldwide/logs/fre.php
  • hxxp://iowipalbv6atsy[.]cf/Exodus1/fre.php
  • hxxp://hyatqfuh9olahvxf[.]gq/BN3/fre.php
  • hxxp://85.202.169[.]172/remote/five/fre.php
  • hxxp://62.197.136[.]186/oluwa/five/fre.php
  • hxxp://62.197.136[.]176/userbob/five/fre.php


Top 4 –  RedLine

RedLine マルウェアは7.7%で4位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

  • 116.202.106[.]111:9582
  • 185.200.191[.]18:80
  • 185.215.113[.]122:15386
  • 193.150.103[.]37:21330
  • 193.150.103[.]38:80
  • 141.95.227[.]187:6238
  • 91.243.59[.]131:7171


Top 5 –  BeamWinHTTP

6.2%で5位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。

https://asec.ahnlab.com/jp/26235/

以下は、確認された C&C サーバーアドレスである。

  • hxxp://appwebstat[.]biz/info.php 
  • hxxp://ads-memory[.]biz/patner/hooker.php
  • hxxp://hogwartsfog[.]com/checkversion.php
  • hxxp://212.192.246[.]217/access.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

Tagged as:

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments