ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年5月23日(月)から5月29日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではインフォスティーラーが76.9%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.6%、ダウンローダーが5.2%、ランサムウェアが1.3%と集計された。

Top 1 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla が32.3%で先週に引き続き1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- server : mail.permagraf.com[.]mx (174.136.37[.]109)
sender : danny@permagraf.com[.]mx
receiver : dannyreports@permagraf.com[.]mx
user : danny@permagraf.com[.]mx
pw : icui****@@ - server : mail.tejarathotel[.]af (144.76.114.106)
sender : info@tejarathotel[.]af
receiver : ranjqnupreti3@gmail[.]com
user : info@tejarathotel[.]af
pw : Kab****22# - server : mail.kls[.]af (144.76.114.106)
sender : info@kls[.]af
receiver : ranjqnupreti3@gmail[.]com
user : info@kls[.]af
pw : Kab****42@
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- AWB & Shipping Documents.exe
- SCAN 023.exe
- REQUISITION FOR MV BRAVERY ACE.docx.exe
- documents of 20-2185-2.exe
- 000993827-4429MX.pdf.exe
- account statement .exe
- Orden de compra.pdf.exe
- CMA-CGM DOC #AKI0418107.exe
- PDA Query – 180397-05-16-22 Port Agency Appointment_pdf.exe
- MV PACIFIC ENDEAVOR V2202 – USD55,000.pdf.exe
Top 2 – Formbook
Formbook マルウェアは25.8%で2位を記録した。
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- two_months_salary_receipts.exe
- ItemsRequest.PDF.exe
- PURCHASING INQUIRY.PDF.exe
- Transferencia 001.exe
- (PO#1164031.exe
- SWIFT.exe
- PO#71099583.exe INQ R138-CR-MO.exe
- Price Quote Request.exe CTM Copy_xlsx.exe
- Order_673N78333_xlsx.exe
- Quotation-2328333.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- http://www.simplybans[.]com/ng9o/
- http://www.momentums6[.]com/tn61/
- http://www.breskizci[.]com/bg5r/
- http://www.temp-bait[.]com/amdf/
- http://www.click-tokens[.]com/ta3t/
- http://www.exilings[.]com/ygkp/
- http://www.hecsearc[.]com/pb0u/
- http://www.caramelshubs[.]com/crqp/
- http://www.motarasag[.]com/sr4i/
- http://www.bravesxx[.]com/mwfc/
- http://www.travelsagas[.]com/a5qd/
Top 3 – Lokibot
Lokibot マルウェアは14.4%で3位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
https://asec.ahnlab.com/jp/16835/
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- SH22-OD03-22.exe
- COTIZACIÓN.pdf.exe
- HB1231_SEQ.22_PO_inquiry.exe
- PO063680.exe UF_86064_HG.exe
- PO_OPBM2.exe
- DATOS BANCARIOS DE REEMBOLSO DE PAGO.exe
- SEOC**** INDUSTRY.exe
- HB1231_SEQ.22_PO_inquiry.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- 198.187.30[.]47/p.php?id=24066800920482691
- 85.202.169[.]172/kelly/five/fre.php
- sempersim[.]su/gg8/fre.php
- lokaxz[.]xyz/fc/bk/ss.php
- pgixx[.]xyz/Smd/PWS/fre.php
- vmopahtqdf84hfvsqepalcbcch63gdyvah[.]ml/BN2/fre.php
- 62.197.136[.]176/liyan/five/fre.php
- 45.133.1[.]45/perez1/five/fre.php
- hyatqfuh9olahvxf[.]ml/Subject/fre.php
- 45.133.1[.]20/uche/five/fre.php
- umenako.co[.]vu/otm/five/fre.php
Top 4 – BeamWinHTTP
5.2%で4位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。
https://asec.ahnlab.com/jp/20924/
最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。
https://asec.ahnlab.com/jp/26235/
以下は、確認された C&C サーバーアドレスである。
- glicefud[.]com/checkversion.php
- 37.0.8[.]39/access.php
- 212.192.246[.]217/access.php
Top 5 – Remcos
今週は Remcos が4.4%で5位を占めている。Remcos は RAT マルウェアとして、キーロガーを含む情報流出および様々な攻撃者の命令を実行できる。
https://asec.ahnlab.com/jp/17889/
Remcos は AgentTesla、Formbook、NanoCore 等のマルウェアのように .NET アウトラインのパッカーによりパッキングされ、スパムメールの添付ファイルを通して配布されている。最近は、特定のツールを装って配布されるケースも多く発見されている。
以下は、確認された Remcos の C&C サーバーアドレスである。
- salesumishcn.ddns[.]net:9764
- 91.243.44[.]130
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計