ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年5月9日(月)から5月15日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが79.4%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.7%、バンキング型マルウェアが1.6%、ランサムウェアが1.6%、ダウンローダーが0.8%と集計された。
Top 1 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla が46,8%で先週に引き続き1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- server: mail.ocenmasters[.]com (198.54.126[.]161)
sender: suganthi@ocenmasters[.]com
receiver: suwika.on@cj-l[.]net
user: suganthi@ocenmasters[.]com
pw: do********345 - server: mail.focuzauto[.]com (166.62.10[.]145)
sender: whford@focuzauto[.]com
receiver: obtxxxtf@gmail[.]com
user: whford@focuzauto[.]com
pw: Gd*********16 - server: mail.rnfreight[.]com (108.170.27[.]202)
sender: docs1@rnfreight[.]com
receiver: zakirrome@ostdubai[.]com
user: docs1@rnfreight[.]com
pw: O9*****3
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- Bank slip.pdf.ex
- SEOUL KOREA.exe
- CASTEC VINA TRADING CO. – NEW PO2022CTV06.exe
- Transfer application form.exe
- compra de orden.xlsx.exe
- SWIFT MESSAGE.exe
- compra de orden.pdf.exe
- DHL_Express Shipping DOCs.exe
- Consignment Documents.exe
- pending orders.exe
- AWB & Shipping Doc.exe
- DHL SHIPMENT NOTIFICATION 1146789443.bat
Top 2 – Formbook
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- berthing.exe
- nuevo pedido.pdf.exe
- 0000356.pdf.exe
- DANG XIAN LIST FOR MAY 2022.exe
- ĐƠN HÀNG MỚI ĐỂ MUA,pdf.exe
- IRQ2207799_Xlxs.exe
- New Orders.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.temp-bait[.]com/n4w3/
- hxxp://www.breskizci[.]com/bs8f/
- hxxp://www.renaziv[.]online/mh76/
- hxxp://www.brasbux[.]com/dx3n/
- hxxp://www.melasco[.]xyz/f43e/
- hxxp://www.clemov[.]xyz/b62r/
- hxxp://www.copikta[.]online/gb10/
- hxxp://www.yevosiz[.]online/b11y/
- hxxp://www.fraxom[.]xyz/sn03/
- hxxp://www.keropy[.]xyz/s4s9/
Top 3 – Lokibot
Lokibot マルウェアは11.9%で3位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
https://asec.ahnlab.com/jp/16835/
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- vbc.exe
- DHL2_324.exe
- orden de compra_pdf_________________________________________________________.exe
- winlog.exe
- DHL Receipt_#AWB811470484778.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://sempersim[.]su/gf10/fre.php
- hxxp://sempersim[.]su/fo/fre.php
- hxxp://sempersim[.]su/gf7/fre.php
- hxxp://sempersim[.]su/gf2/fre.php
- hxxp://85.202.169[.]172/remote/five/fre.php
- hxxp://198.187.30[.]47/p.php?id=19957150644816880
- hxxp://198.187.30[.]47/p.php?id=21645050038542306
- hxxp://198.187.30[.]47/p.php?id=36500205676958835
Top 4 – AveMaria
今週は AveMaria が7.1%占めており、4位に名が上がった。AveMaria は遠隔操作機能のRAT(Remote Administration Tool)マルウェアとして C&C サーバーから攻撃者の命令を受け、様々な不正な振る舞いを実行することができる。
https://asec.ahnlab.com/jp/16911/
AveMariaマルウェアは AgentTesla、Lokibot、Formbook マルウェアと同様に、ほとんどがスパムメールによって配布されている。また、検知を回避するために上記のマルウェアと類似している .NET アウトラインのパッカーによりパッキングされて配布されている。したがって、収集されるファイル名もスパムメールを通して配布されるマルウェアと類似している。
- PO09876544567.PDF.exe
- QUOTATION56220.PDF.exe
- DHL SHIPMENT NOTIFICATION 1146789443.bat
- PROJEXT FE-KA-00020 Order 00013433.jpeg.exe
- ORDER598752579098.PDF.exe
以下は確認された AveMaria の C&C サーバーである。
- 76.8.53[.]133:1198
- 185.183.98[.]169:5678
- 52.12.175[.]156:5252
- 194.5.98[.]225:4545
Top 5 – RedLine
RedLine マルウェアは3.2%で5位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- 91.241.19[.]112:37425
- iclarinyerac[.]xyz:81
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。