ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年6月6日(月)から6月12日(日)までの一週間で収集されたマルウェアの統計を整理する。
大分類の上ではバンキングマルウェアが44.1%と1位を占めており、その次にインフォスティーラーが39.3%、バックドアが9.9%、ダウンローダーが2.9%、コインマイナーが1.9%と集計された。
Top 1 – Emotet
今週は Emotet マルウェアが41.5%で1位を記録した。Emotet はバンキングマルウェアであり、スパムメールを通して拡散し続けている。
従来の週間マルウェア統計の記事において、Emotet マルウェアは統計算出対象として一時的に除外していたが、最近は留意すべき事項を含んで活発に拡散していると見られるため、今週のマルウェア統計には当該マルウェアを含んでいる。
https://asec.ahnlab.com/jp/31390/
基本的に、インストールされる形態は追加の機能がないダウンローダーであり、システムにインストールされた後、追加でモジュールもしくはマルウェアがダウンロードできる。
追加のモジュールとしては、Web ブラウザ及びメールアカウント情報などの、ユーザー情報を窃取するモジュールと、共有フォルダ等を利用した伝播モジュールがある。ダウンロードされたマルウェアは Qakbot、Trickbot 等、さらに別のバンキングマルウェアがある。
Top 2 – AgentTesla
インフォスティーラー型マルウェアである AgentTesla は21.4%で2位を記録した。AgentTesla は Web ブラウザ、メールおよび FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアである。
https://asec.ahnlab.com/jp/16732/
収集した情報の流出にはメールを使用しており、FTP や Discord API などを使用していたサンプルも存在している。直近のサンプルの C&C 情報は以下の通りである。
- server : mail.ppecindia[.]com (50.87.154[.]175)
sender : accounts@ppecindia[.]com
receiver : accounts@ppecindia[.]com
user : accounts@ppecindia[.]com
pw : acco****23$ - server : smtp.filamenthubb[.]com (208.91.198[.]46)
sender : hmb@filamenthubb[.]com
receiver : hmb@filamenthubb[.]com
user : hmb@filamenthubb[.]com
pw : Bv****f4
大半が送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメールを通して配布されるため、ファイル名にも関連した単語や文章が使用される。拡張子の場合は、pdf、xlsx のようなドキュメントファイルに偽装したサンプルも多く存在する。
- Orden de compra 1X 40 USA – Conhsapayhsa #3883.exe
- Bank report.exe
- Statement From A M SHELLFISH LTD.exe
- Qw34#19317.pdf.exe
- COA Form & Shipping documents.exe
- MV HUA SHAN CALLING FDA_pdf.exe
- Price Offer.exe
- DOCUMENT.EXE
- New delivery boxed package for you.exe
Top 3 – Formbook
他のインフォスティーラー型マルウェアと同様に、大半はスパムメールを通して配布され、配布ファイル名も類似している。
- Pdf_ScanRFQ20221704.exe
- WO*LIM RFQ.exe
- Invoice SUN221101.exe
- LPO 088.exe
- Fatura Detay.exe
- Swift 95000USD pdf.exe
- ItemsRFQ.PDF.exe
- SHIPPING_DOCUMENTS_pdf.exe
- RFQ MAY 2022.exe
- factura.exe
- EnumRes.exe
- CustomAttributeRec.exe
Formbook マルウェアは現在実行中の正常なプロセスである explorer.exe および system32 のパスにあるもう一つの正常なプロセスにインジェクションを行うことにより、不正な振る舞いが正常なプロセスによって実行される。Web ブラウザのユーザーアカウント情報以外にも、キーロガー、Clipboard Grabbing、Web ブラウザの Form Grabbing 等、様々な情報を窃取する場合がある。
以下は、確認された Formbook の C&C サーバーアドレスである。
- hxxp://www.hampykostore[.]xyz/ltr1/
- hxxp://www.renaziv[.]online/mh76/
- hxxp://www.eroptikblog[.]xyz/t19g/
- hxxp://www.banceout3[.]com/ceah/
- hxxp://www.fxivcama[.]com/be3s/
- hxxp://www.yuowex[.]online/a11e/
- hxxp://www.brasbux[.]com/t59n/
- hxxp://www.upasev[.]online/b0y1/
- hxxp://www.galuwergroups[.]com/m8c4/
- hxxp://www.caobatins[.]com/tdht/
- hxxp://www.fraxom[.]xyz/sn03/
- hxxp://www.drevom[.]online/fs44/
- hxxp://www.recbi56ni[.]com/q2au/
- hxxp://www.fusersing[.]com/guba/
- hxxp://www.caobatins[.]com/vcir/
- hxxp://www.syrexol[.]online/b19w/
- hxxp://www.exilings[.]com/dahn/
Top 4 – Lokibot
Lokibot マルウェアは3.5%で4位を記録した。Lokibot はインフォスティーラー型マルウェアとして、Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに対する情報を流出させる。
https://asec.ahnlab.com/jp/16835/
スパムメールを通して配布される他のマルウェアと類似したファイル名で配布されている。
- vbc.exe
- DHL Shipping Documents.exe
- RFQ 210121100.exe
- EnumBuil.exe
- audiodg.exe
- SafeLsaReturnBufferHan.exe
- Divjxh.exe
- RhXPxe.exe
- BinaryObj.exe
- FileIOPermiss.exe
大半の Lokibot マルウェアの C&C サーバーアドレスは以下の通り末尾が fre.php で終わる特徴を持っている。
- hxxp://45.133.1[.]45/success/five/fre.php
- hxxp://blinkcard.co[.]vu/shin/five/fre.php
- hxxp://lasloki[.]us/xo/ff/uu.php
- hxxp://2.58.149[.]41/david/five/fre.php
- hxxp://198.187.30[.]47/p.php?id=7706107617708711
- hxxp://giskia[.]xyz/_mmp/ssdf/yaw.php
- hxxp://sempersim[.]su/gh3/fre.php
- hxxp://198.187.30[.]47/p.php?id=53483370875096238
- hxxp://sempersim[.]su/gh6/fre.php
- hxxp://45.133.1[.]20/vedoone/five/fre.php
- hxxp://198.187.30[.]47/p.php?id=21621300892289520
- hxxp://sempersim[.]su/gh8/fre.php
- hxxp://sempersim[.]su/gf2/fre.php
- hxxp://sempersim[.]su/gh7/fre.php
- hxxp://198.187.30[.]47/p.php?id=19957150644816880
Top 5 – RedLine
RedLine マルウェアは2.9%で5位を記録した。RedLine マルウェアは Web ブラウザ、FTP クライアント、暗号通貨ウォレット、PC 設定等の様々な情報を窃取し、C&C サーバーから命令を受け取って追加のマルウェアをダウンロードすることができる。BeamWinHTTP と同じく、ソフトウェアの Crack ダウンロードを装って配布されるケースが多い。
以下は、確認された RedLine の C&C サーバードメインである。
- hxxp://141.95.211[.]151:24029
- hxxp://185.215.113[.]75:81
- hxxp://142.132.233[.]231:48519
- hxxp://194.87.186[.]140:46703
- hxxp://194.60.201[.]88:12153
- hxxp://102.129.141[.]239:47567
- hxxp://167.235.241[.]81:35447
- hxxp://193.106.191[.]253:4752
- hxxp://65.108.20[.]119:21038
- hxxp://80.87.192[.]249:16640
- hxxp://95.217.221[.]116:4502
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:総計