ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年5月16日(月)から5月22日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが71.8%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが19.1%、ダウンローダーが3.7%、ランサムウェアが3.3%、バンキング型マルウェアが1.7%、バックドアが0.4%の順に集計された。

Top 1 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla が32,8%で先週に引き続き1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- server : mail.permagraf.com[.]mx (174.136.37[.]109)
sender : danny@permagraf.com[.]mx
receiver : danny@permagraf.com[.]mx
user : danny@permagraf.com[.]mx
pw : icui****@@ - server : mail.subnet-group[.]com (206.189.39[.]129)
sender : edna@subnet-group[.]com
receiver : eh746746@gmail[.]com
user : edna@subnet-group[.]com
pw : cr****h1t - server : mail.focuzauto[.]com (166.62.10.[]145)
sender : whford@focuzauto[.]com
receiver : obtxxxtf@gmail[.]com
user : whford@focuzauto[.]com
pw : Gd****rd@2016
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- inv TS00005597.exe
- PO.exe
- payment.exe
- COMPROBANTE DE RETIRO SPEI No.79433161_20220520_0230_pagos_transferencia.pdf_pag
- Aviso de pago.pdf.exe
- DN_SACX20176287763680.exe
- Payment Advice.exe
- PROFORMA INVOICE.exe
Top 2 – Formbook
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- RECEIPT_.EXE
- PDF-SCAN-ORDER.exe
- payment_slip_098473.exe
- PURCHASE ORDER FOR GPI ,KAGAL MIDC.exe
- PO0826728826726.exe
- FATURA.exe
- DHL SHIPMENT NOTIFICATION 1146789443.exe
- Fattura_855.pdf.exe
- Scan -166774678237277478382394878384744 pdf.exe
- payment_slip_098473.exe
- Proof_Of_Payment.exe
- NEW_ORDE.EXE
- Swift.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.bestrewlinq[.]xyz/mg11/
- hxxp://www.caobatins[.]com/tdht/
- hxxp://www.demtate[.]xyz/d23n/
- hxxp://www.englishkap[.]xyz/sn12/
- hxxp://www.fusersing[.]com/guba/
- hxxp://www.gulebic[.]com/u2po/
- hxxp://www.hecsearc[.]com/pb0u/
- hxxp://www.japbom[.]online/d6co/
- hxxp://www.lesotip[.]online/m74s/
- hxxp://www.myqmetrbs[.]com/smwr/
- hxxp://www.pleqwag[.]online/b94h/
- hxxp://www.rabies36[.]com/n8m8/
- hxxp://www.scramet[.]online/xw72/
- hxxp://www.tumpiums[.]com/he8c/
- hxxp://www.veminis[.]com/zu08/
Top 3 – Lokibot
Lokibot マルウェアは14.5%で3位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
https://asec.ahnlab.com/jp/16835/
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- Shipping Documents.exe
- Quote.exe garuba1.exe
- Order#051822.exe
- Purchase order.exe
- FedEx Receipt_AWB#5305323204643.exe
- copia rápida_pdf_____________________________.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://198.187.30[.]47/p.php?id=7706107617708711
- hxxp://sempersim[.]su/fo/fre.php
- hxxp://debsfletchofu[.]cf/debsfletch/logs/fre.php
- hxxp://45.133.1[.]20/rex/five/fre.php
- hxxp://85.202.169[.]172/goodlife/five/fre.php
- hxxp://hyatqfuh9olahvxf[.]gq/BN3/fre.php
- hxxp://vmopahtqdf84hfvsqepalcbcch63gdyvah[.]ml/BN2/fre.php
- hxxp://unitedcourierparcel[.]com/cjg/loki/fre.php
- hxxp://lokaxz[.]xyz/fc/bk/ss.php
- hxxp://hyatqfuh9olahvxf[.]ga/Legend/fre.php
Top 4 – RedLine
RedLine マルウェアは8.3%で4位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- iclarinyerac[.]xyz:81
- 212.192.246[.]122:4251
- 194.36.177[.]115:41097
- 193.233.48[.]58:38989
- 193.150.103[.]38:40169
- 193.106.191[.]253:4752
- 185.242.85[.]232:80
- 185.230.143[.]91:44624
- 185.215.113[.]75:80
- 185.215.113[.]201:21921
- 152.89.219[.]248:19932
- 141.95.211[.]151:34846
- 109.107.191[.]37:1657
- 104.168.44[.]52:80
Top 5 – AveMaria
今週は AveMaria が5.0%占めており、5位に名が上がった。AveMaria は遠隔操作機能のRAT(Remote Administration Tool)マルウェアとして C&C サーバーから攻撃者の命令を受け、様々な不正な振る舞いを実行することができる。
https://asec.ahnlab.com/jp/16911/
AveMariaマルウェアは AgentTesla、Lokibot、Formbook マルウェアと同様に、ほとんどがスパムメールによって配布されている。また、検知を回避するために上記のマルウェアと類似している .NET アウトラインのパッカーによりパッキングされて配布されている。したがって、収集されるファイル名もスパムメールを通して配布されるマルウェアと類似している。
- Yeni sipariş _WJO-001, pdf.exe
- 19042022- PL.exe
- ikmoerezx94218.exe
- CustomAttributeFormatExcept.exe
- FieldBuil.exe
以下は確認された AveMaria の C&C サーバーである。
- 37.0.14[.]206:5208
- 104.128.191[.]44:8080
- 79.134.225[.]69:3431
- 2.56.56[.]88:2405
- 154.118.103[.]139:5207
- 80.66.64[.]147:5207
- 194.147.140[.]211:9897
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計