Posted By Hansoyoung , 2022年 June 2日

ASEC マルウェア週間総計 ( 20220523～20220529 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年5月23日(月)から5月29日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが76.9%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが16.6%、ダウンローダーが5.2%、ランサムウェアが1.3%と集計された。

Top 1 – AgentTesla

インフォスティーラー型マルウェアである AgentTesla が32.3%で先週に引き続き1位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

server : mail.permagraf.com[.]mx (174.136.37[.]109)
sender : danny@permagraf.com[.]mx
receiver : dannyreports@permagraf.com[.]mx
user : danny@permagraf.com[.]mx
pw : icui****@@
server : mail.tejarathotel[.]af (144.76.114.106)
sender : info@tejarathotel[.]af
receiver : ranjqnupreti3@gmail[.]com
user : info@tejarathotel[.]af
pw : Kab****22#
server : mail.kls[.]af (144.76.114.106)
sender : info@kls[.]af
receiver : ranjqnupreti3@gmail[.]com
user : info@kls[.]af
pw : Kab****42@

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

AWB & Shipping Documents.exe
SCAN 023.exe
REQUISITION FOR MV BRAVERY ACE.docx.exe
documents of 20-2185-2.exe
000993827-4429MX.pdf.exe
account statement .exe
Orden de compra.pdf.exe
CMA-CGM DOC #AKI0418107.exe
PDA Query – 180397-05-16-22 Port Agency Appointment_pdf.exe
MV PACIFIC ENDEAVOR V2202 – USD55,000.pdf.exe

Top 2 – Formbook

Formbook マルウェアは25.8%で2位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

two_months_salary_receipts.exe
ItemsRequest.PDF.exe
PURCHASING INQUIRY.PDF.exe
Transferencia 001.exe
(PO#1164031.exe
SWIFT.exe
PO#71099583.exe INQ R138-CR-MO.exe
Price Quote Request.exe CTM Copy_xlsx.exe
Order_673N78333_xlsx.exe
Quotation-2328333.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

Top 3 – Lokibot

Lokibot マルウェアは14.4%で3位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

SH22-OD03-22.exe
COTIZACIÓN.pdf.exe
HB1231_SEQ.22_PO_inquiry.exe
PO063680.exe UF_86064_HG.exe
PO_OPBM2.exe
DATOS BANCARIOS DE REEMBOLSO DE PAGO.exe
SEOC**** INDUSTRY.exe
HB1231_SEQ.22_PO_inquiry.exe

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

198.187.30[.]47/p.php?id=24066800920482691
85.202.169[.]172/kelly/five/fre.php
sempersim[.]su/gg8/fre.php
lokaxz[.]xyz/fc/bk/ss.php
pgixx[.]xyz/Smd/PWS/fre.php
vmopahtqdf84hfvsqepalcbcch63gdyvah[.]ml/BN2/fre.php
62.197.136[.]176/liyan/five/fre.php
45.133.1[.]45/perez1/five/fre.php
hyatqfuh9olahvxf[.]ml/Subject/fre.php
45.133.1[.]20/uche/five/fre.php
umenako.co[.]vu/otm/five/fre.php

Top 4 – BeamWinHTTP

5.2%で4位を占めた BeamWinHTTP はダウンローダーマルウェアである。PUP インストールプログラムに偽装したマルウェアを通して配布されるが、BeamWinHTTP が実行されると PUP マルウェアである Garbage Cleaner をインストールし、同時に追加マルウェアをダウンロードしてインストールすることができる。

https://asec.ahnlab.com/jp/20924/

最近では、ソフトウェアの Crack ダウンロードを装って配布される Dropper 型マルウェアによる配布数が大多数である。ASEC 分析チームでは、このようなマルウェアを「MulDrop」という検知名で対応している。このマルウェアについての情報は下記のブログを参照してほしい。

https://asec.ahnlab.com/jp/26235/

以下は、確認された C&C サーバーアドレスである。