ASEC マルウェア週間統計 ( 20220502~20220508 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年5月2日(月)から5月8日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが73.1%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.3%、ランサムウェアが5.0%、ダウンローダーが2.5%と集計された。


Top 1 –  AgentTesla

インフォスティーラー型マルウェアである AgentTesla が49.6%で先週に引き続き1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

  • server: mail.stylestyrofoamind[.]com
    user: socialmedia@stylestyrofoamind[.]com
    pw: Qwe****786
  • server: mail.ocenmasters[.]com
    sender: suganthi@ocenmasters[.]com
    receiver: suwika.on@cj-l[.]net
    user: suganthi@ocenmasters[.]com
    pw: donb****12345
  • server: us2.smtp.mailhostbox[.]com
    user: az@gcmce[.]com
    pw: DANI****16

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • 104_PICIF_RIYADH_SOSHEET_1033.exe
  • AVVISO_DI_SPEDIZIONE_DHL_xls.exe
  • bank_details.exe
  • Confirmation.exe
  • MV.JUNE_XIN_SHIP_PARTICULARS.xlsx.exe
  • new order#22.exe
  • PO_#_FJCHM300012.exe
  • purchase_order.exe
  • PURCHASE_ORDER.exe
  • SCAN- AWB 5032675620_MAY 2022.exe
  • STATEMENT_OF_ACCOUNT_(SOA).exe


Top 2 – Formbook

Formbook マルウェアは10.9%で2位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • 657573-ordin.exe
  • DHL_EXPRESS.exe
  • Invoice_Payment_Advice.exe
  • Order_IS010CT5.exe
  • REQ FOR QUOTATION.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.b8ceex[.]com/gias/
  • hxxp://www.brasbux[.]com/t59n/
  • hxxp://www.cablinqee[.]com/fk84/
  • hxxp://www.mentication[.]com/s2q8/
  • hxxp://www.mentication[.]com/s4ig/
  • hxxp://www.nerosbin[.]info/n4w3/
  • hxxp://www.rasiorbee[.]com/amdf/


Top 3 –  Lokibot

Lokibot マルウェアは7.6%で3位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

  • DHL Receipt_AWB811470484778.exe
  • DHL_256_007.exe
  • fedex receipt_awb5305323204643.exe

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://198.187.30[.]47/p.php
  • hxxp://85.202.169[.]172/remote/five/fre.php
  • hxxp://lasgidivibescontrol[.]com/lest/five/fre.php
  • hxxp://sempersim[.]su/gf10/fre.php
  • hxxp://sempersim[.]su/gf13/fre.php
  • hxxp://sempersim[.]su/gf7/fre.php


Top 4 – AveMaria

今週は AveMaria が5.0%占めており、4位に名が上がった。AveMaria は遠隔操作機能のRAT(Remote Administration Tool)マルウェアとして C&C サーバーから攻撃者の命令を受け、様々な不正な振る舞いを実行することができる。

https://asec.ahnlab.com/jp/16911/

AveMariaマルウェアは AgentTesla、Lokibot、Formbook マルウェアと同様に、ほとんどがスパムメールによって配布されている。また、検知を回避するために上記のマルウェアと類似している .NET アウトラインのパッカーによりパッキングされて配布されている。したがって、収集されるファイル名もスパムメールを通して配布されるマルウェアと類似している。

  • AKMG MAY ORDER LIST SOA.exe
  • PO#30063763006377.pdf.exe
  • Quotation#56220.PDF.exe
  • STATEMENT OF ACCOUNT (SOA).exe

以下は確認された AveMaria の C&C サーバーである。

  • 185.140.53[.]174:2404
  • 185.183.98[.]169:5678
  • 5.2.68[.]67:443


Top 5 –  Stop Ransomware

5.0%で5位になった Stop Ransomware は主に Exploit Kit によって配布されるランサムウェア型のマルウェアである。このマルウェアはユーザー PC 内の特定のファイルを暗号化することで、以前から様々な形態への変形を行い、配布され続けている。最近拡散しているサンプルは、情報窃取型のマルウェアである Vidar マルウェアをインストールしてから、ランサムウェアの振る舞いを実行する。

以下は Stop Ransomware の C&C サーバーアドレスである。

  • hxxp://ugll[.]org/fhsgtsspen6/get.php
  • hxxp://ugll[.]org/test1/get.php
  • hxxp://ugll[.]org/test3/get.php
  • hxxp://zerit[.]top/dl/build2.exe
  • hxxp://ugll[.]org/files/1/build3.exe

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments