ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年4月11日(月)から4月17日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが77.4%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが15.9%、ダウンローダーが5.4%、バンキング型マルウェアが0.8%、ランサムウェアが0.4%順に集計された。
Top 1 – AgentTesla
今週もインフォスティーラー型マルウェアである AgentTesla が31%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。
- server: smtp.taizingshipping[.]com (208.91.198[.]143)
sender: breaktru@taizingshipping[.]com
receiver: breaktru@taizingshipping[.]com
user: breaktru@taizingshipping[.]com
pw: Gw********2 - server: mail.contrivekota[.]in (184.168.102[.]151)
sender: info1@contrivekota[.]in
receiver: hokota@contrivekota[.]in
user: info1@contrivekota[.]in
pw: Co********3$ - server: mail.vvis.com[.]ph (46.21.149[.]90)
sender: fatima@vvis.com[.]ph
receiver: ranjqnupreti3@gmail[.]com
user: fatima@vvis.com[.]ph
pw: Ma*******7
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- Payment Swift_santander
- MT101.exe
- Quotation Sheet.exe
- STATEMENT OF ACOUNT.exe
- HDFC Bank 50% TT swift copy.exe
- PO 960074688.pdf.exe
- PRICE QUOTATION.exe
- PO363.exe
Top 2 – Formbook
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。下記のリストに太字で表示されているようなファイルの場合、最上位フォルダー名のみ変更し、複数のメールの受信者をターゲットに配布したものと推定される。すなわち、不正なメールに添付された圧縮ファイル、もしくは内部フォルダーの名前のみを変更して配布したものと判断することができる。そのため、出処の不明な送信者からのメールには特に注意する必要がある。
- attachment_pdf.exe
- PI&BL.exe
- New Order.exe
- doh.exe
- orden_de_compra_de_abril.pdf.exe
- Payment_-_Sunrise_pdf.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.budistx[.]com/iqof/
- hxxp://www.hughers3[.]com/cbgo/
- hxxp://www.keepitng[.]com/inga/
- hxxp://www.nu865ci[.]com/g5so/
- hxxp://www.price-hype[.]com/apg5/
- hxxp://www.hips5r[.]com/p83q/
- hxxp://www.rugisdh[.]com/ud5f/
- hxxp://fendoremi[.]com/wesd/
- hxxp://www.demtate[.]xyz/d23n/
Top 3 – Lokibot
Lokibot マルウェアは10.5%を占めており、3位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
https://asec.ahnlab.com/jp/16835/
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- babaman.exe
- vbc.exe
- 20220414.exe
- loadme.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://164.90.194[.]235/?id=58098847226041972
- hxxp://sempersim[.]su/ge17/fre.php
- hxxp://62.197.136[.]176/auzsin/five/fre.php
- hxxp://controlsvr1[.]tk/Concord/fre.php
- hxxp://45.133.1[.]45/me/five/fre.php
- hxxp://hyatqfuh9olahvxf[.]gq/BN3/fre.php
Top 4 – RedLine
RedLine マルウェアは9.6%で4位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- wailanyrrere[.]xyz:81
- 107.189.6[.]214:8
- 185.215.113[.]122:15386
- 116.202.106[.]111:9582
Top 5 – SnakeKeylogger
7.5%で5位を占めた SnakeKeylogger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。
https://asec.ahnlab.com/jp/22111/
このマルウェアは AgentTesla と同じく、収集した情報を流出させる際にメールサーバーを使用したり、Telegram や FTP を使用したりして様々な方法を利用している。確認されたメールアカウント、または C&C アドレスは以下の通りである。
- host : mail.stilltech[.]ro
sender: office@stilltech[.]ro
receiver: princenewman1111@gmail[.]com
user: office@stilltech[.]ro
pw: eu********55ro - hxxps://api.telegram[.]org/bot5273807869:AAHdhflfgTbp8lRJ0nhI2erbz0crK0sBFlM/sendDocument?chat_id=1212297121
- hxxps://api.telegram[.]org/bot5243953302:AAGFyxwcILx3S0Gq834R9NN-9m6enfFssYk/sendDocument?chat_id=5255359287
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計