Posted By ,

ASEC マルウェア週間統計 ( 20220530~20220605 )

ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年5月30日(月)から6月5日(日)までの一週間で収集されたマルウェアの統計を整理する。

大分類の上ではインフォスティーラーが89.9%と1位を占めており、その次に RAT(Remote Administration Tool)マルウェアが8.5%、ランサムウェア、ダウンローダー、バンキング型マルウェアがそれぞれ0.5%と集計された。

Top 1 – Formbook

今週は Formbook マルウェアが33.7%で1位を記録した。

他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。

  • BL COPY- CIF LCL SEA SHIPMENT.exe
  • Bolt,Screw and Nuts Pdf.exe
  • Company Profile.exe
  • Invoice document.exe
  • Invoice_pdf.exe
  • lists.PDF.exe
  • ListsAll.PDF.exe
  • Neft_Rtgs_01_06_2022_pdf.exe
  • New Order 013.exe
  • Order_673N78333_pdf.exe
  • Payment Advice.exe
  • Remove Damage old pipe & Supply and Installation of Polypropylene pipe-6 -8mtr – 1.exe
  • Request for Quotation.exe
  • RFQ1.PDF.exe
  • Shipment Notification.exe
  • Transferencia____________.exe

Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、悪意のある行為が正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。

以下は、確認された Formbook の C&C サーバーアドレスである。

  • hxxp://www.camekodesign[.]xyz/p3ss/
  • hxxp://www.munichu[.]com/ukkg/
  • hxxp://www.temp-bait[.]com/ziuo/
  • hxxp://www.b8ceex[.]com/ges0/
  • hxxp://www.greks33[.]com/rh2e/
  • hxxp://www.dinglom[.]xyz/ab58/
  • hxxp://www.camekodesign[.]xyz/p3ss/
  • hxxp://www.trendiddas[.]com/gqvv/
  • hxxp://www.renchies[.]com/heqa/
  • hxxp://www.bravesxx[.]com/mwfc/
  • hxxp://www.striphilopen[.]xyz/e1a8/
  • hxxp://www.hilopen[.]online/ms18/

Top 2 –  AgentTesla

インフォスティーラー型マルウェアである AgentTesla は30.7%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。

https://asec.ahnlab.com/jp/16732/

収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。

  • server : mail.exportersglobe[.]com (51.210.156[.]152)
    sender : ikesend@exportersglobe[.]com
    receiver : origin4wding1@gmail[.]com
    user : ikesend@exportersglobe[.]com
    pw : Mn****teq4_
  • server : mail.vaidictesthouse[.]com (162.241.169[.]155)
    sender : report@vaidictesthouse[.]com
    receiver : report@vaidictesthouse[.]com
    user : report@vaidictesthouse[.]com
    pw : Low****93
  • server : smtp.nutiribio[.]com (162.222.225[.]29)
    sender : humhum@nutiribio[.]com
    receiver : humhum@nutiribio[.]com
    user : humhum@nutiribio[.]com
    pw : zG***15

大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。

  • 2022-SF-00001-22026553-01020129_____.exe
  • 703_INVO.EXE
  • DOCUMENT.EXE
  • NEW PO 5243242443 & 35336448501_2022.exe
  • NEW PURCHASE ORDER 5893372663.exe
  • OUTSTANDING BALANCE IS USD$. 70360.exe
  • Payment Instruction N._7890.exe
  • Quote RF-E68-STD-094.pdf.exe
  • Quote. METSA (Reduction).exe
  • SWIFT,jpg.exe

Top 3 –  Lokibot

Lokibot マルウェアは10.1%で3位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。

https://asec.ahnlab.com/jp/16835/

スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。

  • Account Info0-98789.exe
  • FedEx Receipt_AWB#5305323204643.exe
  • new order_pdf________________________.exe
  • Payment Proof.exe
  • Quotation Inquiry..exe
  • Shipping Documents.exe
  • 구매 주문서(PO) 번호 PO010222-00193.exe (翻訳: 購入注文書(PO) 番号 PO010222-00193.exe)

大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。

  • hxxp://198.187.30[.]47/p.php?id=17642814389135937
  • hxxp://45.133.1[.]45/perez1/five/fre.php
  • hxxp://blinkcard.co[.]vu/shin/five/fre.php
  • hxxp://cqmio[.]com/cj/loki/fre.php
  • hxxp://dlokis[.]xyz/kk/cc/rr.php
  • hxxp://lasloki[.]us/xo/ff/uu.php
  • hxxp://lokaxz[.]xyz/fc/bk/ss.php
  • hxxp://sempersim[.]su/fo/fre.php
  • hxxp://sempersim[.]su/gg19/fre.php

Top 4 – AveMaria

今週は AveMaria が8.0%占めており、4位に名が上がった。AveMaria は遠隔操作機能のRAT(Remote Administration Tool)マルウェアとして C&C サーバーから攻撃者の命令を受け、様々な不正な振る舞いを実行することができる。

https://asec.ahnlab.com/jp/16911/

AveMaria マルウェアは AgentTesla、Lokibot、Formbook マルウェアと同様に、ほとんどがスパムメールによって配布されている。また、検知を回避するために上記のマルウェアと類似している .NET アウトラインのパッカーによりパッキングされて配布されている。したがって、収集されるファイル名もスパムメールを通して配布されるマルウェアと類似している。

  • ScanDocument-pdf.exe
  • Purchase order_(PO220956).exe
  • PO#198000.exe
  • Payment Proof.exe
  • order.pdf.exe
  • New Invoice.exe
  • June new invoice.exe
  • D0508-22 Al Wasl Trading L.L.C.exe

以下は確認された AveMaria の C&C サーバーである。

  • 2.56.57[.]85:80
  • 37.0.14[.]204:1604
  • guest.maximos[.]quest:2626
  • clientss777.duckdns[.]org:6053
  • babajay.ddns[.]net:5800
  • udooiuyt.dynamic-dns[.]net:5200
  • remote.msoftupdate[.]me:8010

Top 5 –  RedLine

RedLine マルウェアは5.0%で5位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。

以下は、確認された RedLine の C&C サーバードメインである。

  • 139.99.32[.]83:43199
  • 185.106.92[.]86:48678
  • 191.101.130[.]240:41874
  • 194.93.2[.]28:46378
  • 2.56.57[.]16:25154
  • 23.94.54[.]224:6325
  • 65.21.213[.]209:32936

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:総計

Tagged as:

0 0 votes
評価する
guest

0 コメント
Inline Feedbacks
View all comments