ASEC マルウェア週間統計 ( 20220418~20220424 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年4月18日(月)から4月24日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが70.5%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが17.8%、ダウンローダーが7.4%、バンキング型マルウェアが1.8%、ランサムウェアが2.5%の順に集計された。

Top 1 –  AgentTesla

今週はインフォスティーラー型マルウェアである AgentTesla が27%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報を流出させる際にはメールを使用しており、最近のサンプルのメールアドレスおよびアカウントは以下の通りである。

  • server mail.shekharlogistics[.]com (208.91.199[.]87)
    sender asm@shekharlogistics[.]com
    receiver pcompany157@gmail[.]com
    user asm@shekharlogistics[.]com
    pw a*****34
  • server mail.rnfreight[.]com (108.170.27[.]202)
    sender docs1@rnfreight[.]com
    receiver zakirrome@ostdubai[.]com 
    user docs1@rnfreight[.]com
    pw O***n3
  • server mail.teknovateplas[.]com (103.195.185[.]115)
    sender marketing@teknovateplas[.]com
    receiver zamanic62@gmail[.]com
    user marketing@teknovateplas[.]com
    pw te*****0$

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • Payment Transfer.exe
  • Payment_Notice_93653_23001.exe
  • DHL Shipping Documents.exe
  • Transfer Confirmation 1409675.exe
  • RFQ-5560067999011000.exe
  • Document.exe
  • Quotation.exe
  • Swift Copy.exe
  • Invoices – Past Due.exe
  • statement of account.exe
  • new enquiry.exe
  • Swift.docx.exe
  • PO and payment.exe
  • ZPSA-98T522–3326PAYMENT.exe
  • Quotation-pdf______________________________________.exe
  • PO-PROFORMA INVOICE.exe
  • 2022 Johnson& Johnson -PO- 216238068.exe
  • Overdue Payment.jar.exe

Top 2 – Formbook

Formbook マルウェアは23.3%で2位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • DHL Shipping Document.exe
  • PO 01 MAGNETROL-ALS-31032022.exe
  • PO Inv.pdf.exe
  • PO42536383092872.exe
  • PO-006134.exe
  • Product Specification 01.exe
  • doc88.exe
  • outstanding overdue statements_xls.exe
  • Inquiry_22602057.exe
  • SOA March 310322.exe
  • SO 101062171.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.alpeshpate[.]com/mwfc/
  • hxxp://www.berdisen[.]com/ugfu/
  • hxxp://www.cablinqee[.]com/dgi3/
  • hxxp://www.gulebic[.]com/u2po/
  • hxxp://www.hughers3[.]com/cbgo/
  • hxxp://www.mutoros[.]com/tu46/
  • hxxp://www.dufcot[.]xyz/i1a6/

Top 3 –  Lokibot

Lokibot マルウェアは9.2%を占めており、3位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

  • Swift Copy-MT103_pdf.exe
  • Factura comercial.pdf.exe
  • DHL_Shipping_Documents.exe
  • [견적의뢰(request quotation)]korea-6898078_cr-0659_계약 주문 _dd.exe
    (翻訳:[見積依頼(request quotation)]korea-6898078_cr-0659_契約注文_dd.exe)

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://62.197.136[.]176/li/five/fre.php
  • hxxp://controlsvr1[.]cf/Concord/fre.php
  • hxxp://lokaxz[.]xyz/fc/bk/tt.php
  • hxxp://sempersim[.]su/gd17/fre.php
  • hxxp://vmopahtqdf84hfvsqepalcbcch63gdyvah[.]ml/BN2/fre.php
  • hxxp://198.187.30[.]47/p.php?id=21460643090716570

Top 4 –  BeamWinHTTP

7.4%で4位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。

https://asec.ahnlab.com/jp/26235/

以下は、確認された C&C サーバーアドレスである。

  • hxxp://212.192.246[.]217/access.php
  • hxxp://goldenchests[.]com/checkversion.php
  • hxxp://fixholidey[.]com/checkversion.php

Top 5 –  SnakeKeylogger

6.1%で5位を占めた SnakeKeylogger は、ユーザーによるキー入力およびシステムクリップボード、ブラウザのアカウント情報等の情報を流出させるインフォスティーラー型のマルウェアである。

https://asec.ahnlab.com/jp/22111/

このマルウェアは AgentTesla と同様に、収集した情報を流出させる際に、メールサーバーおよびユーザーアカウントを利用しており、最近流入したサンプルが利用しているアカウントは以下の通りである。

  • host : mail.alfalahchemicals[.]com (65.60.35[.]98)
    sender: rafay.yousuf@alfalahchemicals[.]com
    receiver: princenewman1111@gmail[.]com
    user: rafay.yousuf@alfalahchemicals[.]com
    pw: pa*****56
  • host : mail.stilltech[.]ro (192.185.100[.]146)
    sender: office@stilltech[.]ro
    receiver: christophermartins016@gmail[.]com
    user: office@stilltech[.]ro
    pw: eu*****5ro

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments