ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年5月2日(月)から5月8日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが73.1%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.3%、ランサムウェアが5.0%、ダウンローダーが2.5%と集計された。
Top 1 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla が49.6%で先週に引き続き1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- server: mail.stylestyrofoamind[.]com
user: socialmedia@stylestyrofoamind[.]com
pw: Qwe****786 - server: mail.ocenmasters[.]com
sender: suganthi@ocenmasters[.]com
receiver: suwika.on@cj-l[.]net
user: suganthi@ocenmasters[.]com
pw: donb****12345 - server: us2.smtp.mailhostbox[.]com
user: az@gcmce[.]com
pw: DANI****16
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- 104_PICIF_RIYADH_SOSHEET_1033.exe
- AVVISO_DI_SPEDIZIONE_DHL_xls.exe
- bank_details.exe
- Confirmation.exe
- MV.JUNE_XIN_SHIP_PARTICULARS.xlsx.exe
- new order#22.exe
- PO_#_FJCHM300012.exe
- purchase_order.exe
- PURCHASE_ORDER.exe
- SCAN- AWB 5032675620_MAY 2022.exe
- STATEMENT_OF_ACCOUNT_(SOA).exe
Top 2 – Formbook
Formbook マルウェアは10.9%で2位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- 657573-ordin.exe
- DHL_EXPRESS.exe
- Invoice_Payment_Advice.exe
- Order_IS010CT5.exe
- REQ FOR QUOTATION.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.b8ceex[.]com/gias/
- hxxp://www.brasbux[.]com/t59n/
- hxxp://www.cablinqee[.]com/fk84/
- hxxp://www.mentication[.]com/s2q8/
- hxxp://www.mentication[.]com/s4ig/
- hxxp://www.nerosbin[.]info/n4w3/
- hxxp://www.rasiorbee[.]com/amdf/
Top 3 – Lokibot
Lokibot マルウェアは7.6%で3位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
https://asec.ahnlab.com/jp/16835/
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- DHL Receipt_AWB811470484778.exe
- DHL_256_007.exe
- fedex receipt_awb5305323204643.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://198.187.30[.]47/p.php
- hxxp://85.202.169[.]172/remote/five/fre.php
- hxxp://lasgidivibescontrol[.]com/lest/five/fre.php
- hxxp://sempersim[.]su/gf10/fre.php
- hxxp://sempersim[.]su/gf13/fre.php
- hxxp://sempersim[.]su/gf7/fre.php
Top 4 – AveMaria
今週は AveMaria が5.0%占めており、4位に名が上がった。AveMaria は遠隔操作機能のRAT(Remote Administration Tool)マルウェアとして C&C サーバーから攻撃者の命令を受け、様々な不正な振る舞いを実行することができる。
https://asec.ahnlab.com/jp/16911/
AveMariaマルウェアは AgentTesla、Lokibot、Formbook マルウェアと同様に、ほとんどがスパムメールによって配布されている。また、検知を回避するために上記のマルウェアと類似している .NET アウトラインのパッカーによりパッキングされて配布されている。したがって、収集されるファイル名もスパムメールを通して配布されるマルウェアと類似している。
- AKMG MAY ORDER LIST SOA.exe
- PO#30063763006377.pdf.exe
- Quotation#56220.PDF.exe
- STATEMENT OF ACCOUNT (SOA).exe
以下は確認された AveMaria の C&C サーバーである。
- 185.140.53[.]174:2404
- 185.183.98[.]169:5678
- 5.2.68[.]67:443
Top 5 – Stop Ransomware
5.0%で5位になった Stop Ransomware は主に Exploit Kit によって配布されるランサムウェア型のマルウェアである。このマルウェアはユーザー PC 内の特定のファイルを暗号化することで、以前から様々な形態への変形を行い、配布され続けている。最近拡散しているサンプルは、情報窃取型のマルウェアである Vidar マルウェアをインストールしてから、ランサムウェアの振る舞いを実行する。
以下は Stop Ransomware の C&C サーバーアドレスである。
- hxxp://ugll[.]org/fhsgtsspen6/get.php
- hxxp://ugll[.]org/test1/get.php
- hxxp://ugll[.]org/test3/get.php
- hxxp://zerit[.]top/dl/build2.exe
- hxxp://ugll[.]org/files/1/build3.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計