ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年4月25日(月)から5月1日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが70.3%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが18.8%、ランサムウェアが7.9%、ダウンローダーが2.5%、コインマイナーが0.5%と集計された。
Top 1 – AgentTesla
今週はインフォスティーラー型マルウェアである AgentTesla が38.6%で1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- server: ftp.bluecomunidad.com
user: rb9ja@bluecomunidad.com
pw: D+i*u=****cV - server: mail.teknovateplas.com
sender: marketing@teknovateplas.com
receiver: zamanic62@gmail.com
user: marketing@teknovateplas.com
pw: tekm****020$ - server: mail.myremediez.com
sender: help@myremediez.com
receiver: willycoker01@yandex.com
user: help@myremediez.com
pw: 12****456 - server: smtp.advqnce.com
sender: user1@advqnce.com
receiver: user1@advqnce.com
user: user1@advqnce.com
pw: S!****g6 - server: mail.keeprojects.in
sender: quality@keeprojects.in
receiver: quality@keeprojects.in
user: quality@keeprojects.in
pw: quali****!
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- OFFER_AND_PICTURES.exe
- PT HCU2435.exe
- STR-DD225227.exe
- INVOICE.exe
- PURCHASE_ORDER.exe
- PO_#102-00549338.exe
- Updated_SOA.exe
- Remittance_Advise.exe
- Shipping_Documents.exe
- SHIPMENT_STATUS.exe
- printouts of outstanding as of 27-04-2022.exe
- Revised_Documents.exe
- ENQ 3720014088.exe
- new order#22.exe
- NEW_PO#.exe
- 2022_QUOTE-RFQ-22-03794.exe
- QNLNSAHMD2202897.exe
- MT1032776380.exe
- Re,_texiles_product.exe
- PO4522435545545553WQR.exe
- PO_8773645_90222364_989_00111283838448_2022.exe
- SCAN_04355_wire_swift_00000000001.exe
Top 2 – Formbook
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- PI-Order_IS01OCT5_xlxs.exe
- DHL_SHIPMENT_NOTIFICATION.exe
- New_Purchas_Order.exe
- Invoice_&_Packlist.exe
- invoice no. Q1-4001028L.exe
- Shipping_Documents.bat.exe
- Catalogue_Request_Sheet_and_Product_Inquiry.exe
- Shipping_Documts.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.banceout3[.]com/ceah/
- hxxp://www.beputis4[.]com/afj0/
- hxxp://www.berdisen[.]com/mt6e/
- hxxp://www.besasin09[.]com/c1rg/
- hxxp://www.binges66v[.]com/eggp/
- hxxp://www.breskizci[.]com/bs8f/
- hxxp://www.buggy4t[.]com/ocgr/
- hxxp://www.conjupy[.]online/a23w/
- hxxp://www.demtate[.]xyz/d23n/
- hxxp://www.fadsek[.]xyz/u27o/
- hxxp://www.getdetzag[.]xyz/kt03/
- hxxp://www.ipoyce[.]online/d1n3/
- hxxp://www.keropy[.]xyz/s4s9/
- hxxp://www.moukse[.]com/n35q/
- hxxp://www.mutoros[.]com/tu46/
- hxxp://www.nerosbin[.]info/n4w3/
- hxxp://www.nifaji[.]com/uj3c/
- hxxp://www.nu865ci[.]com/g5so/
- hxxp://www.penuay[.]online/p84g/
- hxxp://www.rasiorbee[.]com/amdf/
- hxxp://www.renaziv[.]online/mh76/
- hxxp://www.rezcoat[.]online/b1s5/
- hxxp://www.singmos[.]online/o18j/
- hxxp://www.yevosiz[.]online/b11y/
Top 3 – Lokibot
Lokibot マルウェアは7.4%を占めており、3位に名が上がった。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
https://asec.ahnlab.com/jp/16835/
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- DHL_Receipt_AWB2045829822.exe
- Swift_Copy.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://103.147.185[.]85/1/fre.php
- hxxp://164.90.194[.]235/?id=21460643090716570
- hxxp://198.187.30[.]47/p.php?id=21645050038542306
- hxxp://198.187.30[.]47/p.php?id=23287771531910382
- hxxp://198.187.30[.]47/p.php?id=3129435466035640
- hxxp://198.187.30[.]47/p.php?id=36500205676958835
- hxxp://198.187.30[.]47/p.php?id=5566589175702602
- hxxp://37.0.8[.]87/freshlogs/fre.php
- hxxp://45.133.1[.]45/me/five/fre.php
- hxxp://62.197.136[.]176/userbob/five/fre.php
- hxxp://62.197.136[.]186/oluwa/five/fre.php
- hxxp://controlsvr1[.]ga/Concord/fre.php
- hxxp://panel-report-logs[.]ml/dandollars/fre.php
- hxxp://plxnva67001gs6gljacjpqudhatjqf[.]gq/Concord/fre.php
- hxxp://sempersim[.]su/ge25/fre.php
- hxxp://sempersim[.]su/gf4/fre.php
- hxxp://vmopahtqdf84hfvsqepalcbcch63gdyvah[.]ml/BN2/fre.php
Top 4 – Stop Ransomware
6.9%で4位になった Stop Ransomware は主に Exploit Kit によって配布されるランサムウェア型のマルウェアである。このマルウェアはユーザー PC 内の特定のファイルを暗号化することで、以前から様々な形態への変形を行い、配布され続けている。最近拡散しているサンプルは、情報窃取型のマルウェアである Vidar マルウェアをインストールしてから、ランサムウェアの振る舞いを実行する。
以下は Stop Ransomware の C&C サーバーアドレスである。
- hxxp://zerit[.]top/dl/build2.exe
- hxxp://fuyt[.]org/fhsgtsspen6/get.php
- hxxp://fuyt[.]org/files/1/build3.exe
Top 5 – NanoCore
NanoCore は5.0%で5位になっている。NanoCore は .NET で開発された RAT マルウェアとして、njRAT と同じようにキーロガーを含む情報流出および様々な攻撃者の命令を実行できる。
NanoCore は AgentTesla、Formbook、AveMaria、Remcos 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。すなわち、収集されるファイル名もスパムメールを通して配布されるマルウェアと類似している。最近では以下のようなドキュメントに偽装した圧縮ファイルによって配布されるケースが多く確認されている。
- lot902019302023.pdf\8asy2eja8ctafvm.exe
- img.111009102890.jpg\z8xwvm80rrz8x5z.exe
- IMG.4436663726277.JPG.z\tbdwk2odkwtidii.exe
- doc00200249489354.pdf.lzh\qpmivwhymdzmdno.exe
- kakaotalk_20220520_1342128.pdf.lzh\fmjxnvlgmlj49pf.exe
- 00909978299.lzh\xxuhj5pkutszx9a.exe
以下は確認された NanoCore の C&C サーバーである。
- strongest.ddns[.]net:54761
- naga0.ddns[.]net:54761
- lowspeed.ddns[.]net:50421
- greatman.hopto[.]org:9070
- 91.193.75[.]221:4040
- 62.197.136[.]29:6932
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。